Sicherheitslücke in 31 Banking-Apps Hacker können Geld auf eigenes Konto umleiten
IT-Experten ist es gelungen, Sicherheitsvorkehrungen in 31 Online-Banking-Apps zu umgehen. Betroffen sind auch die Anwendungen von Commerzbank, Comdirect, Stadtsparkassen und Fidor Bank.
Sicherheitsforscher der Universität Erlangen-Nürnberg haben offenbar eine Schwachstelle entdeckt, die in Dutzenden Online-Banking-Apps steckt. Das berichtet die "Süddeutsche Zeitung". Hacker könnten diese Sicherheitslücke ausnutzen und zum Beispiel eine Überweisung in der App unbemerkt auf ein eigenes Konto umleiten.
Das Problem entsteht in einem Baustein der App, der eigentlich für mehr Sicherheit sorgen soll. Dieser stammt nämlich bei allen 31 betroffenen Apps von ein und demselben Dienstleister: Promon. Den IT-Forschern ist es nun gelungen, diesen Sicherheitsmechanismus zu umgehen. Die Apps sind dann nicht mehr vor Manipulationen geschützt.
Auf diesem Weg könnten Hacker die Datenübertragung abfangen, ihn auf ihre eigenen Rechner umleiten und Angaben, wie etwa die Iban-Nummer, verändern. Auch Transaktionsnummern (Tan) könnten auf diesem Weg abgefangen werden. Mit diesen "Einmal-Passwörtern" werden die Überweisungen bestätigt.
Nutzer können sich allerdings schützen, indem sie die Banking-App und das Tan-Verfahren nicht auf demselben Smartphone ausführen. Dann funktioniert der Angriff nämlich nicht.
Laut Angaben des Herstellers Promon sei es bisher noch keinem kriminellen Hacker gelungen, die Sicherheitsvorkehrungen zu knacken. Auch die Nürnberger IT-Experten geben zu: Die Vorbereitungen für den Angriff sind komplex und erfordern mehrere Monate Aufwand. Die Mühe würde sich jedoch lohnen: Mit ein und demselben Verfahren ließen sich 31 verschiedene Finanz-Apps austricksen.
Viele der betroffenen Banking-Apps sollen in Kürze aktualisiert werden. Das kündigte der Verband Deutsche Kreditwirtschaft und Promon am Freitag an.