Nem biztonságos a Sparkasse online banki alkamazása

A Sparkasse alkalmazás és a hozzá kapcsolódó s-pushTAN (TAN – tranzakció hitelesítési szám) vizsgálata során két biztonsági kutató sikeresen kijátszotta a szoftverekben alkalmazott biztonsági mechanizmusokat.

Az alkalmazás alapú TAN megoldások, mint amilyen az s-pushTAN is, a következőképpen működnek:
1. alkalmazás (Sparkasse):

  • biztosítja a felületet (beviteli mezők, tranzakciós adatok megadása)

2. alkalmazás (s-pushTAN):

  • végzi a titkosított csatornák kiépítését
  • TAN igénylése a banktól
  • TAN megjelenítése
  • TAN átmásolása az 1. alkalmazásba

Ezek után a felhasználó az első alkalmazásban kért tranzakciót lebonyolíthatja.

Előny: kényelmes használat, titkosított kommunikáció
Hátrány: egy eszközön zajlik le a folyamat, azaz egy trójaival fertőzött eszközön hamisítható a tranzakció

Kihasználása: egy root exploit futtatása az adott verziójú Android eszközön a megfelelő jogosultágok megszerzéséhez, majd káros kód illesztése az eszközre, melynek segítségével hamisítható a tranzakciós információ.

Érintett verziók:

  • 2.7.1  (Build  27269) – Sparkasse
  • 1.0.4  (Build  404) – s-pushTAN

Tesztelve: LG Nexus 5, Android 5.1.1 (Lollipop) – https://www1.cs.fau.de/content/unsicherheit-von-app-basierten-tan-verfahren-im-onlinebanking

Források, hivatkozások:

  • https://www1.cs.fau.de/filepool/projects/apptan/Unsicherheit-AppTAN.pdf
  • https://www1.cs.fau.de/content/unsicherheit-von-app-basierten-tan-verfahren-im-onlinebanking
  • https://en.wikipedia.org/wiki/Transaction_authentication_number

Legfrissebb sérülékenységek
CVE-2023-4863 – Google Chrome sérülékenysége
CVE-2023-40186 – FreeRDP sérülékenysége
CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége
CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége
CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége
CVE-2023-38831 – RARLabs WinRAR sérülékenysége
CVE-2023-38035 – Ivanti Sentry sérülékenysége
CVE-2023-20212 – ClamAV sérülékenysége
CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége
Tovább a sérülékenységekhez »