A Sparkasse alkalmazás és a hozzá kapcsolódó s-pushTAN (TAN – tranzakció hitelesítési szám) vizsgálata során két biztonsági kutató sikeresen kijátszotta a szoftverekben alkalmazott biztonsági mechanizmusokat.
Az alkalmazás alapú TAN megoldások, mint amilyen az s-pushTAN is, a következőképpen működnek:
1. alkalmazás (Sparkasse):
- biztosítja a felületet (beviteli mezők, tranzakciós adatok megadása)
2. alkalmazás (s-pushTAN):
- végzi a titkosított csatornák kiépítését
- TAN igénylése a banktól
- TAN megjelenítése
- TAN átmásolása az 1. alkalmazásba
Ezek után a felhasználó az első alkalmazásban kért tranzakciót lebonyolíthatja.
Előny: kényelmes használat, titkosított kommunikáció
Hátrány: egy eszközön zajlik le a folyamat, azaz egy trójaival fertőzött eszközön hamisítható a tranzakció
Kihasználása: egy root exploit futtatása az adott verziójú Android eszközön a megfelelő jogosultágok megszerzéséhez, majd káros kód illesztése az eszközre, melynek segítségével hamisítható a tranzakciós információ.
Érintett verziók:
- 2.7.1 (Build 27269) – Sparkasse
- 1.0.4 (Build 404) – s-pushTAN
Tesztelve: LG Nexus 5, Android 5.1.1 (Lollipop) – https://www1.cs.fau.de/content/unsicherheit-von-app-basierten-tan-verfahren-im-onlinebanking
Források, hivatkozások:
- https://www1.cs.fau.de/filepool/projects/apptan/Unsicherheit-AppTAN.pdf
- https://www1.cs.fau.de/content/unsicherheit-von-app-basierten-tan-verfahren-im-onlinebanking
- https://en.wikipedia.org/wiki/Transaction_authentication_number
