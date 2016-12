Vincent Haupert, Mitarbeiter und Doktorand am Lehrstuhl für IT-Sicherheitsinfrastrukturen an der Uni Erlangen, hat auf dem Hackerkongress 33C3 in Hamburg mehrere Schwachstellen in der Online-Banking-App des FinTech-Startups N26 gezeigt, mit denen ein Zugriff auf fremde Konten anderer Kunden möglich waren. Haupert demonstrierte beispielsweise, wie er mit offenbar recht simplen Ansätzen Überweisungen machen und dabei den vollen Kreditrahmen des kompromittierten Kontos ausschöpfen konnte.

Bei N26 handelt es sich um eine Direktbank, die sich ohne eigenes Filialnetz auf die Online-Kontoführung und Transaktionen via Smartphone spezialisiert hat. Das Unternehmen besitzt eine eigene Banklizenz und bedient momentan rund 200.000 Kunden in mehreren europäischen Ländern, darunter auch in Deutschland.

Im zurückliegenden Jahr hatte N26 eine ganze Reihe von Konten geschlossen, weil deren Inhaber offenbar zu oft die zu diesem Zeitpunkt unbegrenzte Möglichkeit von Barabhebungen an fremden Geldautomaten nutzten. Das anfangs mit Fördermitteln unterstützte Startup steht zudem in der Kritik, weil es anscheinend Probleme beim Versand von Bankkarten und bei der Erreichbarkeit des Kundenservice gab.

Für den Zugriff auf das eigene Konto benötigt ein N26-Kunde eine funktionierende E-Mail-Adresse, ein Passwort und eine vierstellige PIN-Nummer, den sogenannten Transfer-Code. Bei der Einrichtung und der Nutzung des Kontos wird zudem eine per SMS bestätigte Kopplung mit dem Smartphone des Inhabers hergestellt.

Diese Kombination aus mehreren Parametern gilt normalerweise als ziemlich sicher. Allerdings konnte Haupert nachweisen, dass die von N26 bereitgestellten Apps für iOS und Android einer sogenannten Man in the Middle Attacke nicht standhielten. Das eigentlich zur Verschlüsselung vorgesehene HTTPS-Zertifikat sei nicht korrekt eingebunden, so dass der Doktorand eine Echtzeit-Überwachung und Manipulation durchführen konnte.

Haupert spielte die Angriffsszenarien durch und fand z.B. heraus, dass er über ein simples Zurücksetzen des Kontos und eine Phishing-Attacke Zugriff auf das Konto des Inhabers erhalten könnte. Ein immer noch im Netz kursierendes Datenpaket mit rund 68 Millionen Dropbox-Passwörtern habe konnte man offenbar ohne größere Probleme über die von N26 bereitgestellte API mit den Kundendaten der Bank abgleichen und stieß dabei auf die Daten von rund 33.000 Kunden der Direktbank. Die in diesem Zuge unverschlüsselt zugänglichen E-Mail Adressen hätte man wiederum für einen Phishing-Nutzen können.

Über Apples Sprachassistentin Siri konnte Haupert über nicht mit dem Kundenkonto verknüpfte iPhones rund 200 Kleinstbeträge auf andere Konten transferieren, ohne dass der von N26 als Sicherheitsmerkmal angepriesene Algorithmus dies moniert habe. Siri wiederum habe man umgehen können, wenn man die nachlässig geschützte Kennung der zum Konto gehörenden Mastercard-Kreditkarte ermittle und den nachfolgend benötigten (eigentlich per SMS übertragenen, siehe oben) PIN-Code per Brute Force Angriff in wenigen Minuten herausfinde.

N26: Zwei-Faktor-Authentifizierung ad absurdum

Haupert wies N26 bereits Mitte September auf die Schwachstellen hin, vor rund zwei Wochen wurde die letzte davon über ein entsprechendes Update der App geschlossen. In der zu diesem Zeitpunkt verbreiteten Pressemeldung der Bank heisst es, dass es sich lediglich um einen “theoretischen Zugriff” handele, was sich nach Hauperts Vortrag auf dem 33C3 allerdings ganz anders darstellt. Offenbar bezog N26 diese Aussage auf den Umstand, dass es nach Aussage der Bank zu keinen Schadensfällen gekommen sei. Eine tatsächliche Überweisung von 200 Kleinstbeträgen ist jedoch alles andere als “theoretisch”, was weitere Fragen aufwirft.

Haupert kritisiert, dass nachlässig handelnde Fintech-Startups wie N26 das von etablierten Banken mühsam aufgebaute Vertrauen in den sicheren Geldtransfer nachhaltig schädigen könnten. Der Druck, den diese zudem von der Bankenaufsicht Bafin unzureichend kontrollierten Firmen durch ein vermeintlich besseres Preis-/Leistungsverhältnis und komfortabler zu bedienende Apps aufbauen würden, führe zu weiteren unsicheren Banking Apps und gelegentlich sogar von Drittanbietern eingekauften Lösungen wie dem pushTAN-Verfahren, das der Sicherheitsforscher bereits im vergangenen Jahr erfolgreich gehackt hatte.

Tatsächlich muss man sich anlässlich der massiven Sicherheitslücken bei N26 die Frage stellen, ob jedes der ach so hippen und „disruptiven“ FinTech-Startups überhaupt mit der an sich gerissenen Verantwortung umgehen kann. Immerhin sollen und wollen sie mit ihren innovativen Konzepten die nach Ansicht von „Experten“ wie Frank Thelen unfassbar rückständige Bankenindustrie aufmischen. Vielleicht wächst hier ja langsam die Erkenntnis, dass möglichst schnelles Wachstum und ’ne piselige App keine gute Basis für eine Bank sind, wenn das (Zitat Frank Thelen) „Mindset“ nicht richtig justiert ist.

Sicherheitsexperten weisen seit geraumer Zeit darauf hin, dass eine für die Transaktion benötigte TAN keinesfalls auf dem Gerät generiert werden dürfe, auf dem die Transaktion durchgeführt wird. Grundlage der eigentlich zuverlässigen Zwei-Faktor-Authentifizierung sei, dass zur Generierung entsprechender Codes immer ein zweites Gerät genutzt werden solle – also z.B. ein dazu vorgesehener Chipkartenleser. Das ist zwar “lästiger”, verhindert aber weitestgehend verlässlich Angriffe wie die hier geschilderten. Gegenüber spiegel.de und netzpolitik.org fasst Haupert die Problematik nochmals zusammen.

via heise.de