Abschwächen von Transaktionsmanipulationsangriffen gegen App-basierte Authentifizierungsschemata

Antwort-ID vasco-sr-20161019-transman

Revisionsnummer 1.0

Erscheinungsdatum 19. Oktober 2016 12:00 UTC + 1

Letztes Update 19. Oktober 2016 12:00 UTC + 1

Botschaft

Einführung

Im Oktober 2016 veröffentlichten die Forscher Vincent Haupert und Tilo Müller von der Universität Erlangen - Nürnberg einen Artikel [1] über einen Transaktionsmanipulationsangriff gegen die App-basierten Authentifizierungsschemata mehrerer deutscher Banken. Die Forscher wollen zeigen, dass App-basierte Authentifizierungsschemata, bei denen eine Mobile-Banking-App und eine Authentifizierungs-App auf demselben Mobilgerät ausgeführt werden, technisch gesehen nicht als sicher angesehen werden können. Diese Sicherheitsantwort beschreibt den Transaktionsmanipulationsangriff, bietet eine Risikobewertung des Angriffs und beschreibt Möglichkeiten zur Risikominderung.

Beschreibung des Angriffs

Der Transaktionsmanipulationsangriff zielt auf app-basierte Authentifizierungsschemata ab, wobei eine Mobile-Banking-App zum Initiieren einer Finanztransaktion und eine separate Authentifizierungs-App zum Bestätigen der Transaktion verwendet wird. Beide Apps, die über die App-zu-App-Kommunikation interagieren, befinden sich auf demselben mobilen Gerät des Opfers. Der Angriff basiert auf der Manipulation der vom Opfer in die Mobile-Banking-App eingegebenen Transaktionsdaten sowie der Transaktionsdaten, die dem Opfer von der Authentifizierungs-App angezeigt werden. 

Der Angriff besteht aus folgenden Schritten:

  1. Das Opfer startet die Mobile-Banking-App, gibt Transaktionsdaten ein (z. B. Kontonummer des Begünstigten, Geldbetrag) und sendet die Transaktion an den Bankserver.
  2. Der Gegner fängt die Transaktion ab und manipuliert sie. Beispielsweise kann er die Kontonummer und den Geldbetrag des Begünstigten ändern. Der Gegner sendet die manipulierte Transaktion an den Bankenserver.
  3. Die Mobile-Banking-App fordert das Opfer auf, die Transaktion in der Authentifizierungs-App zu überprüfen und zu bestätigen. Die letztere App, die unter der Kontrolle des Gegners steht, zeigt dem Opfer die ursprünglichen Transaktionsdaten. Da das Opfer glaubt, dass die Transaktion korrekt ist, bestätigt er sie. In der Realität generiert die Authentifizierungs-App jedoch eine Signatur oder TAN über die manipulierten Transaktionsdaten und gibt sie an die Mobile-Banking-App zurück.
  4. In der Mobile-Banking-App bestätigt das Opfer, dass die Signatur (TAN) an den Bankserver gesendet werden kann.
  5. Der Bankserver empfängt die Signatur, überprüft, ob sie der manipulierten Transaktion entspricht, und führt die manipulierte Transaktion aus.

Der Angriff wird mithilfe von Malware implementiert, die eine Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen auf dem mobilen Gerät ausnutzt, um Root-Zugriff auf das Gerät zu erhalten.

Die Hauptursache für den Angriff ist, dass App-basierte Authentifizierungsschemata mit App-zu-App-Kommunikation vollständig auf demselben Mobilgerät implementiert sind. Mobile Geräte sind offene Mehrzweckgeräte mit einer komplexen Sicherheitsarchitektur. Der Angriff nutzt keine Sicherheitsanfälligkeit in den CRONTO-Produkten von OneSpan für mobile Geräte aus. 

Neuverpackungserkennung durch RASP

Eine der im Artikel von Haupert und Müller beschriebenen Authentifizierungs-Apps ist mit der Runtime Application Self-Protection (RASP) -Technologie von OneSpan geschützt. RASP bietet eine große Anzahl von Sicherheitsdiensten für mobile Apps, z. B. Root-Erkennung, Repackaging-Erkennung, Code-Injection-Erkennung und Debugger-Schutz. 

Die Forscher weisen darauf hin, dass es ihnen gelungen ist, die Erkennung von RASP beim Umpacken zu umgehen. OneSpan bestätigt, dass die Forscher eine Schwäche in der RASP-Technologie ausgenutzt haben. Das Ausnutzen dieser Schwäche erfordert jedoch einen maßgeschneiderten Angriff, der schwer auszuführen ist. OneSpan weist diesem Angriff aus den unten aufgeführten Gründen eine geringe Eintrittswahrscheinlichkeit zu. Darüber hinaus wird VASCO in der Woche vom 17. Oktober einen Patch veröffentlichen, um die Schwäche zu beheben.

Risikobewertung für den Angriff

OneSpan weist dem Transaktionsmanipulationsangriff aus mehreren Gründen eine geringe Eintrittswahrscheinlichkeit zu:

Die Funktionalität der Malware, die zur Durchführung des Angriffs verwendet wird, ist sehr weit fortgeschritten und sicherlich viel weiter fortgeschritten als die Funktionalität der Malware, die OneSpan heute „in the wild“ beobachtet. Der Grad der Komplexität der von den Forschern verwendeten Malware wird derzeit nur in Forschungslabors beobachtet. Der Angriff funktioniert nur in einer kontrollierten Umgebung.

Die Forscher gehen davon aus, dass bestimmte mobile Geräte einer Sicherheitsanfälligkeit bezüglich der Eskalation von Berechtigungen unterliegen, die es Malware ermöglicht, das Gerät zu rooten, ohne dass der Benutzer dies bemerkt. Obwohl solche Sicherheitslücken bestehen, erfordern sie normalerweise unterschiedliche Ausnutzungstechniken auf verschiedenen Arten von Geräten und Betriebssystemen. Dies macht es schwierig, den Angriff gegen eine große Anzahl von Benutzern zu starten.

Die Forscher gehen davon aus, dass die Malware Root-Zugriff auf das Gerät erhalten kann. Während das Rooten eines einzelnen Mobilgerätetyps in der kontrollierten Umgebung eines Labors relativ einfach durchgeführt werden kann, ist es erheblich schwieriger, Root-Zugriff auf eine große Anzahl von Geräten zu erhalten.

Um diesen Angriff erfolgreich auszuführen, muss der Angreifer den Benutzer dazu bringen, gezielte Malware auf dem Gerät des Opfers zu installieren. Dies erfordert eine Form des Social Engineering, die sich an einzelne Benutzer richtet.

Viele Mobile-Banking-Apps beschränken den Geldbetrag, der überwiesen werden kann. Die mögliche wirtschaftliche Rendite für den Gegner ist daher im Vergleich zum erforderlichen Aufwand relativ gering.

Den Angriff abschwächen

OneSpan empfiehlt, den Transaktionsmanipulationsangriff wie folgt abzuschwächen:

OneSpan empfiehlt die Verwendung der Runtime Application Self-Protection (RASP) -Technologie zum Schutz mobiler Apps. RASP stellt sicher, dass der Aufwand und das Fachwissen, die für die Durchführung des Transaktionsmanipulationsangriffs erforderlich sind, erheblich zunehmen. Darauf weisen auch die Forscher selbst hin.

Um den Angriff auf Transaktionsmanipulationen vollständig abzuschwächen, empfiehlt OneSpan die Verwendung eines separaten Hardwaregeräts zur Authentifizierung von Finanztransaktionen. Wie die Forscher betonten, bietet die Verwendung eines dedizierten Hardwaregeräts zur Authentifizierung von Finanztransaktionen einen hervorragenden Schutz gegen diese Art von Angriff.

Verweise

[1] Vincent Haupert und Tilo Müller, Über App-basierte Matrixcode-Authentifizierung im Online-Banking,
https://www1.cs.fau.de/content/app-based-matrix-code-authentication-online-banking

Haftungsausschluss

WÄHREND JEDER ANGEMESSENE AUFWAND GEMACHT WIRD, UM GENAUE INFORMATIONEN ZU VERARBEITEN UND ZUR VERFÜGUNG ZU STELLEN, WERDEN ALLE INHALTE UND INFORMATIONEN IN DIESEM DOKUMENT "WIE BESEHEN" UND "WIE VERFÜGBAR" UND OHNE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE VON CUR VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GEWÄHRLEISTUNG, EINSCHLIESSLICH DER GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden.

Copyright © 2016 VASCO Data Security, Inc., VASCO Data Security International GmbH. Alle Rechte vorbehalten.

🖨 Abschwächen von Transaktionsmanipulationsangriffen gegen App-basierte Authentifizierungsschemata