Nem biztonságos a Sparkasse online banki alkamazása

A Sparkasse alkalmazás és a hozzá kapcsolódó s-pushTAN (TAN – tranzakció hitelesítési szám) vizsgálata során két biztonsági kutató sikeresen kijátszotta a szoftverekben alkalmazott biztonsági mechanizmusokat.

Az alkalmazás alapú TAN megoldások, mint amilyen az s-pushTAN is, a következőképpen működnek:
1. alkalmazás (Sparkasse):

  • biztosítja a felületet (beviteli mezők, tranzakciós adatok megadása)

2. alkalmazás (s-pushTAN):

  • végzi a titkosított csatornák kiépítését
  • TAN igénylése a banktól
  • TAN megjelenítése
  • TAN átmásolása az 1. alkalmazásba

Ezek után a felhasználó az első alkalmazásban kért tranzakciót lebonyolíthatja.

Előny: kényelmes használat, titkosított kommunikáció
Hátrány: egy eszközön zajlik le a folyamat, azaz egy trójaival fertőzött eszközön hamisítható a tranzakció

Kihasználása: egy root exploit futtatása az adott verziójú Android eszközön a megfelelő jogosultágok megszerzéséhez, majd káros kód illesztése az eszközre, melynek segítségével hamisítható a tranzakciós információ.

Érintett verziók:

  • 2.7.1  (Build  27269) – Sparkasse
  • 1.0.4  (Build  404) – s-pushTAN

Tesztelve: LG Nexus 5, Android 5.1.1 (Lollipop) – https://www1.cs.fau.de/content/unsicherheit-von-app-basierten-tan-verfahren-im-onlinebanking

Források, hivatkozások:

  • https://www1.cs.fau.de/filepool/projects/apptan/Unsicherheit-AppTAN.pdf
  • https://www1.cs.fau.de/content/unsicherheit-von-app-basierten-tan-verfahren-im-onlinebanking
  • https://en.wikipedia.org/wiki/Transaction_authentication_number