Sicherheitsforscher der Friedrich-Alexander-Universität Erlangen haben 31 Banking-Apps als unsicher entlarvt.
Bei den untersuchten Verfahren verwenden die Nutzer eine Online-Banking-App und eine TAN-App auf demselben Gerät. Die TAN-App fordert bei der Bank verschlüsselt eine TAN an, die per Klick in die Online-Banking-App übertragen und dort für eine Überweisung genutzt werden kann.
Dem Forscherteam ist es gelungen, die Apps unter der Identität des Smartphone- und Kontoinhabers auf einem zweiten Gerät auszuführen und TAN an beliebige weitere Geräte zu verschicken.
Außerdem konnten sie IBAN-Nummern von Empfängerkonten bei einer Überweisung des berechtigten Konotinhabers manipulieren. Die Überweisung erfolgte auf ein anderes Konto. Dem Überweisenden wurde aber immer noch die ursprüngliche Empfänger-IBAN angezeigt.

Die Forscher kündigten an, Details zu ihrem Proof-of-Concept-Angriff Ende Dezember beim Chaos Commuication Congress (CCC) erläutern.

https://www.heise.de/security/meldung/31-lueckenhafte-Banking-Apps-Forscher-entlarven-App-TAN-Verfahren-abermals-als-unsicher-3900945.html