34th Chaos Communication Congress

»Die fabelhafte Welt des Mobilebankings«
2017-12-27, 21:00–21:30, Saal Adams

Bisher wurden Angriffe gegen App-basierte TAN-Verfahren und Mobilebanking von betroffenen Banken eher als akademische Kapriole abgetan. Sie seien, wenn überhaupt, nur unter Laborbedingungen und dazu unter wiederkehrend hohem manuellen Aufwand zu realisieren. Um diese Sichtweise zu korrigieren, haben wir das Programm Nomorp entwickelt, das in der Lage ist, zentrale Sicherungs- und Härtungsmaßnahmen in weltweit 31 Apps vollautomatisch zu deaktivieren und somit Schadsoftware Tür und Tor öffnet. Unter den Betroffenen stellen deutsche Unternehmen mit 20 Finanz-Apps die größte Fraktion.

Die in großen Schritten voranschreitende Abschaffung der unabhängigen Zwei-Faktor-Authentifizierung bei App-basierten Bankgeschäften hat die Anforderungen an die technischen Sicherungsmaßnahmen erhöht. Sich der konzeptionellen Angreifbarkeit der Verfahren bewusst, suchen die Banken ihre Apps durch Speziallösungen Dritter abzusichern. Diese Produkte sind mittlerweile zum integralen Bestandteil vieler Banking-Apps geworden und sollen deren Sicherheit im Falle eines kompromittierten Geräts garantieren.

Im Finanzbereich allgemein, gerade aber im Feld der deutschen Banking-Apps, ist das sog. Promon SHIELD des norwegischen Herstellers Promon eine bekannte Sicherheitslösung, die durch ihre hohe Beliebtheit bei allen Instituten der deutschen Bankenlandschaft besticht. Insbesondere bei den Apps der Sparkassen-Finanzgruppe und den Volksbanken-Raiffeisenbanken ist das Promon SHIELD mittlerweile zum Dreh- und Angelpunkt der Sicherheitsarchitektur geworden. Als solches findet es sich nicht nur in deren Banking- und pushTAN-Apps, sondern auch in zehn weiteren Apps wieder. Aber auch bei den Privatbanken ist das Produkt geschätzt und wird unter anderem von der Commerzbank oder auch der Fidor Bank eingesetzt. Auch das Bayerische Landesamt für Finanzen, seines Zeichens verantwortlich für Elster, setzt auf Promon.

Mit Nomorp haben wir ein Werkzeug geschaffen, das die durch das Promon SHIELD eingeführten Sicherungs- und Härtungsmaßnahmen in weltweit 31 Finanz-Apps vollständig deaktivieren und zum Teil sogar umkehren kann. Nomorp arbeitet dabei vollautomatisch, geräte- und versionsunabhängig. Seine Anwendung führt oft dazu, dass neben klassischer App-Härtung auch etablierte Best Practices wie Zertifikats-Pinning oder auch das verschlüsselte Ablegen von sensiblen Kundendaten nicht mehr existieren. Obwohl der Fokus auf dem Marktführer Android liegt, wird der Vortrag ebenfalls zeigen, dass sich entscheidende Teile des Angriffs auf die entsprechenden iOS-Apps übertragen lassen.