If you suspend your transcription on amara.org, please add a timestamp below to indicate how far you progressed! This will help others to resume your work!
Please do not press “publish” on amara.org to save your progress, use “save draft” instead. Only press “publish” when you're done with quality control.
<p>
Die in großen Schritten voranschreitende Abschaffung der unabhängigen Zwei-Faktor-Authentifizierung bei App-basierten Bankgeschäften hat die Anforderungen an die technischen Sicherungsmaßnahmen erhöht. Sich der konzeptionellen Angreifbarkeit der Verfahren bewusst, suchen die Banken ihre Apps durch Speziallösungen Dritter abzusichern. Diese Produkte sind mittlerweile zum integralen Bestandteil vieler Banking-Apps geworden und sollen deren Sicherheit im Falle eines kompromittierten Geräts garantieren.
</p>
<p>
Im Finanzbereich allgemein, gerade aber im Feld der deutschen Banking-Apps, ist das sog. <em>Promon SHIELD</em> des norwegischen Herstellers <em>Promon</em> eine bekannte Sicherheitslösung, die durch ihre hohe Beliebtheit bei allen Instituten der deutschen Bankenlandschaft besticht. Insbesondere bei den Apps der Sparkassen-Finanzgruppe und den Volksbanken-Raiffeisenbanken ist das <em>Promon SHIELD</em> mittlerweile zum Dreh- und Angelpunkt der Sicherheitsarchitektur geworden. Als solches findet es sich nicht nur in deren Banking- und pushTAN-Apps, sondern auch in zehn weiteren Apps wieder. Aber auch bei den Privatbanken ist das Produkt geschätzt und wird unter anderem von der Commerzbank oder auch der Fidor Bank eingesetzt. Auch das Bayerische Landesamt für Finanzen, seines Zeichens verantwortlich für <em>Elster</em>, setzt auf <em>Promon</em>.
</p>
<p>
Mit <em>Nomorp</em> haben wir ein Werkzeug geschaffen, das die durch das <em>Promon SHIELD</em> eingeführten Sicherungs- und Härtungsmaßnahmen in weltweit 31 Finanz-Apps vollständig deaktivieren und zum Teil sogar umkehren kann. <em>Nomorp</em> arbeitet dabei vollautomatisch, geräte- und versionsunabhängig. Seine Anwendung führt oft dazu, dass neben klassischer App-Härtung auch etablierte Best Practices wie Zertifikats-Pinning oder auch das verschlüsselte Ablegen von sensiblen Kundendaten nicht mehr existieren. Obwohl der Fokus auf dem Marktführer Android liegt, wird der Vortrag ebenfalls zeigen, dass sich entscheidende Teile des Angriffs auf die entsprechenden iOS-Apps übertragen lassen.
</p>
German: Finished