Forscher knacken photoTAN

Zwei Forscher von der Friedrich-Alexander-Universität Erlangen Nürnberg haben das photoTAN Verfahren der Norisbank, Deutschen Bank und Commerzbank geknackt.

Mittlerweile findet fast alles auf dem Smartphone statt. Für jeden Vorgang, für jede Aufgabe gibt es eine App, die alles genauso einfach und übersichtlich macht, wie zu Hause auf dem Schreibtisch. Auch Online Banking findet immer öfter mobil statt. Durch neue TAN-Verfahren werden die geheimen Codes via SMS aufs Handy geschickt oder via QR-Code mit der Kamera eingescannt. Doch letzteres Verfahren haben offenbar Forscher auf Android Handys jetzt geknackt.

Das Verfahren der photoTAN wird unter anderem von der Commerzbank, der Deutschen Bank und der Norisbank verwendet. Bei der photoTAN wird ein 3x3 Zentimeter großes Bild aus kleinen Punkten generiert. Diese Grafik enthält Informationen, ähnlich einem QR-Code, der von der Handy Kamera eingescannt wird. Das Smartphone bzw. die Banking App entschlüsselt dieses Zeichen und erstellt mit diesen Informationen die Transaktionsdaten mit Betrag, Name des Empfängers sowie einer siebenstelligen Nummer, die die Transaktion freigibt.

Das große Problem, das Forscher aus Bayern offengelegt haben, ist, wenn sich Banking-App und photoTAN-App auf einem Gerät befinden. Das ermöglichte den Forschern das System auszuhebeln. Indem sie Schadsoftware auf den Geräten installiert hatten, war es möglich Transaktionen zu manipulieren. Online Überweisungen konnten erstellt, umgeleitet und sogar versteckt werden.

Die Banken reagierten bereits auf die Ergebnisse der Forscher und kündigten an, dass man viel Wert auf das Thema Sicherheit lege. Die Commerzbank versprach, dass bei solchen Schadensfällen die vollständige Summe erstattet werde.