In seinem Vortrag auf dem 34. Chaos Communication Congress (34C3) beschreibt Vincent Haupert, Sicherheitsforscher an der Friedrich-Alexander-Universität (FAU), Angriffsmöglichkeiten auf Mobile-Banking-Apps. Im Rahmen seines Talks stellte er ein von seiner Arbeitsgruppe entwickeltes Tool vor, mit dem Sicherheitsfunktionen und Härtungsmaßnahmen von 31 Mobile-Banking-Apps ausgehebelt werden konnten. Aus dem deutschen Finanzsektor waren 20 Apps betroffen.

Der vorgestellte Angriff wurde ermöglicht durch die fortschreitende Abschaffung von Zwei-Faktor-Authentisierung in derartigen Apps. Stattdessen werden Sicherheitslösungen von Drittanbietern eingekauft, die die App absichern. Eine dieser Lösungen, genannt Promon SHIELD, wird in vielen, auch deutschen, Mobile-Banking-Apps eingesetzt. Das Produkt wird damit beworben, Apps auch in nicht-vertrauenswürdigen Umgebungen vor Angriffen zu schützen. So sei eine App, die Promon SHIELD nutzt, sogar auf Malware-infizierten Geräten sicher einsetzbar.

Apps, die mit Promon SHIELD ausgeliefert werden, halten eine verschlüsselte Konfigurationsdatei vor, die bestimmt, welche Sicherungsmaßnamen Promon SHIELD umsetzen soll. Beim Start der Banking-App liegt die Datei kurzfristig unverschlüsselt im Arbeitsspeicher des Geräts und lässt sich manipulieren. Dadurch kann Promon SHIELD deaktiviert oder mit anderer Konfiguration weiter betrieben werden. Durch diese Sicherheitslücke ist es möglich, die durch Promon SHIELD gesicherte App ungesichert zu betreiben und so beispielsweise Beträge von Überweisungen zu ändern.

Im Rahmen der Untersuchung entwickelte Haupert eine App (genannt Nomorp) mit der dieses Vorgehen automatisiert durchgeführt werden kann. Vor Bekanntgabe dieser Sicherheitslücke wurde Promon benachrichtigt und eine neue Version des Promon SHIELD ausgeliefert, die die ausgenutzten Schwachstellen behebt. Der Autor lobte besonders die kooperative und professionelle Kommunikation mit Promon – keine Selbstverständlichkeit bei Herstellern, die mit einer Sicherheitslücke konfrontiert werden.

Der Vortrag ist deutschsprachig und hier abrufbar.