Open Source im professionellen Einsatz
Linux-Magazin 10/2012
© aigarsr, Fotolia

© aigarsr, Fotolia

Googles Smartphone-Linux ist ein einfaches Opfer für Angreifer

Architektenpfusch

Android-Geräte rücken zunehmend in den Fokus von Angreifern. Bauliche Mängel in den Grundkonzepten von Googles Smartphone-System machen es leicht, auch an sensibelste Daten wie die TAN fürs Homebanking oder die Facebook-Credentials zu kommen. Dieser Artikel zeigt zwei Hacks und einen Lösungsvorschlag.

464

"Lieber Kunde, aus Sicherheitsgründen sind ab 31.12. die ausgedruckten TAN-Listen fürs Homebanking nicht mehr gültig. Stattdessen bitten wir alle unsere Kunden, auf Mobile TAN (mTAN) oder einen Kartenleser mit TAN-Funktion (chipTAN) umzustellen. Diese Systeme ermöglichen einen deutlich höheren Sicherheitsstandard", so ähnlich heißt es in Schreiben, die Banken derzeit an ihre Kunden verschicken.

Sicherheitsrisiko M-TAN

Ein Smartphone hat heute fast jeder. Nicht zuletzt deshalb lassen sich viele Kunden auf das M-TAN-Verfahren ein, bei dem die für den erfolgreichen Abschluss einer Überweisung nötige Geheimnummer per SMS aufs Handy gelangt [1] . Der Bankkunde gibt die erhaltene, geheime Transaktionsnummer im Bankingportal im Browser ein, schon erfolgt die Überweisung. Zwei getrennte Kommunikationskanäle, das sei sicher, versprechen viele Banken. Doch Sicherheitsexperten raten mangels sicherer Smartphone-Betriebssysteme vom M-TAN-Verfahren dringend ab.

Zum Ärger der Konkurrenz, die M-TAN immer noch als uneingeschränkt sicheres Produkt anpreist, gesellt sich zu den Mahnern auch der Direct-Banking- und Wertpapierspezialist Cortal Consors. "Wir mussten für unsere Warnungen viel Prügel von anderen Banken einstecken, die das nicht so schlimm sehen", erklärt ein Consors-Vertreter.

Die BNP-Paribas-Tochter aus Nürnberg veranstaltete sogar eine Vortragsreihe mit dem "Ex-Hacker" Gunnar Porada als Referenten. Der hat Erfahrung, sein Profil bietet eine lange Liste an Sicherheitslücken, die der Geschäftsführer der Schweizer Sicherheitsfirma Innosec [2] offengelegt hat. Er hackte live im ZDF – bei "WISO" – und enthüllte gravierende Unsicherheiten bei EC-Karten, dem elektronischem Personalausweis, in Reisepässen oder Fingerabdruck-Sensoren.

Eine simple Sache

Weil Cortal Consors nach eigener Aussage ein "sehr hohes Sicherheitsbedürfnis hat und Anwender sensibilisieren will", durfte er in mehreren Workshops die Schwächen der Kombination Windows-PC und Android vorführen. Erschreckend leicht, so Porada, lassen sich moderne Smartphones kompromittieren.

"Technisch ist das gar nicht so aufregend, die Angriffsmöglichkeiten sind bekannt. Das Schwierigste für den Angreifer ist eher herauszufinden, welches Handy zu einem infizierten PC gehört", erklärt der Ex-Hacker, der gerade 100 000 Euro vom Konto eines Konzerns zu einer gemeinnützigen Organisation transferiert hat, mit gefälschten Accounts und Webseiten, auf die er den Demo-Rechner vorher per DNS-Spoofing umgeleitet hat – natürlich nur als Demo fürs Publikum.

Auf dem Windows-PC geht Porada jedoch noch weiter: Hier fängt ein Keylogger Tastatureingaben ab, ein Command-and-Control-Server übernimmt derweil die Kommunikation mit dem Smartphone. Auf dem wird Malware die TAN-SMS abfangen und weiterleiten, bevor der Besitzer sie sieht.

Ein Angreifer könnte nun automatisiert und im Verborgenen beliebige Überweisungen tätigen, so weit es der Dispo des Opfers hergibt, eine Benutzerinteraktion ist nicht mehr nötig: Wie von Geisterhand füllt die Demo-Malware auf dem Beamer HTML-Formulare aus, gibt die ans Smartphone versendeten, klammheimlich abgefangen TANs ein und leert so nach und nach das simulierte Konto eines Opfers.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

comments powered by Disqus