Auf dem 32c3 zeigte Vincent Haupert in seinem Vortrag, wie unsicher App-basierten TANs im Online-Banking sind. Nachdem der Kunde in der Banking-App eine Überweisung initiiert hat, wird in der TAN-App auf dem selben Smartphone die zugehörige TAN angezeigt. Durch die Nutzung von zwei Apps auf dem selben Endgerät unterläuft das Verfahren den Vorteil der 2-Faktor-Authentisierung aus Passwort und TAN.
Der Forscher demonstrierte am Beispiel der Sparkassen-App, dass die vorhandenen Sicherheitsfunktionen bereits mit geringem Aufwand umgangen werden können. Im Anschluss war es möglich, eine Überweisung für den Nutzer unerkennbar zu manipulieren, so dass das Geld nicht beim angezeigten und erwarteten Empfänger ankam, sondern auf ein vollkommen anderes Konto umgeleitet wurde. Weiterhin konnte auch der überwiesene Betrag beliebig erhöht werden.
Kunden sollten sich daher beim Online-Banking genau überlegen, ob Sie aus Bequemlichkeit ein unsichereres Verfahren nutzen wollen. Als Alternative kann das Chip-TAN-Verfahren empfohlen werden, für das momentan kein technischer Angriff bekannt ist.