Sicherheitsforscher der Friedrich-Alexander-Universitä
Bei den untersuchten Verfahren verwenden die Nutzer eine Online-Banking-App und eine TAN-App auf demselben Gerät. Die TAN-App fordert bei der Bank verschlüsselt eine TAN an, die per Klick in die Online-Banking-App übertragen und dort für eine Überweisung genutzt werden kann.
Dem Forscherteam ist es gelungen, die Apps unter der Identität des Smartphone- und Kontoinhabers auf einem zweiten Gerät auszuführen und TAN an beliebige weitere Geräte zu verschicken.
Außerdem konnten sie IBAN-Nummern von Empfängerkonten bei einer Überweisung des berechtigten Konotinhabers manipulieren. Die Überweisung erfolgte auf ein anderes Konto. Dem Überweisenden wurde aber immer noch die ursprüngliche Empfänger-IBAN angezeigt.
Die Forscher kündigten an, Details zu ihrem Proof-of-Concept-Angriff Ende Dezember beim Chaos Commuication Congress (CCC) erläutern.