C3Subtitles: 34c3: Die fabelhafte Welt des Mobilebankings
back

Die fabelhafte Welt des Mobilebankings

If you suspend your transcription on amara.org, please add a timestamp below to indicate how far you progressed! This will help others to resume your work!

Please do not press “publish” on amara.org to save your progress, use “save draft” instead. Only press “publish” when you're done with quality control.

Video duration
00:33:11
Language
German
Abstract
Bisher wurden Angriffe gegen App-basierte TAN-Verfahren und Mobilebanking von betroffenen Banken eher als akademische Kapriole abgetan. Sie seien, wenn überhaupt, nur unter Laborbedingungen und dazu unter wiederkehrend hohem manuellen Aufwand zu realisieren. Um diese Sichtweise zu korrigieren, haben wir das Programm Nomorp entwickelt, das in der Lage ist, zentrale Sicherungs- und Härtungsmaßnahmen in weltweit 31 Apps vollautomatisch zu deaktivieren und somit Schadsoftware Tür und Tor öffnet. Unter den Betroffenen stellen deutsche Unternehmen mit 20 Finanz-Apps die größte Fraktion.

<p>
Die in großen Schritten voranschreitende Abschaffung der unabhängigen Zwei-Faktor-Authentifizierung bei App-basierten Bankgeschäften hat die Anforderungen an die technischen Sicherungsmaßnahmen erhöht. Sich der konzeptionellen Angreifbarkeit der Verfahren bewusst, suchen die Banken ihre Apps durch Speziallösungen Dritter abzusichern. Diese Produkte sind mittlerweile zum integralen Bestandteil vieler Banking-Apps geworden und sollen deren Sicherheit im Falle eines kompromittierten Geräts garantieren.
</p>
<p>
Im Finanzbereich allgemein, gerade aber im Feld der deutschen Banking-Apps, ist das sog. <em>Promon SHIELD</em> des norwegischen Herstellers <em>Promon</em> eine bekannte Sicherheitslösung, die durch ihre hohe Beliebtheit bei allen Instituten der deutschen Bankenlandschaft besticht. Insbesondere bei den Apps der Sparkassen-Finanzgruppe und den Volksbanken-Raiffeisenbanken ist das <em>Promon SHIELD</em> mittlerweile zum Dreh- und Angelpunkt der Sicherheitsarchitektur geworden. Als solches findet es sich nicht nur in deren Banking- und pushTAN-Apps, sondern auch in zehn weiteren Apps wieder. Aber auch bei den Privatbanken ist das Produkt geschätzt und wird unter anderem von der Commerzbank oder auch der Fidor Bank eingesetzt. Auch das Bayerische Landesamt für Finanzen, seines Zeichens verantwortlich für <em>Elster</em>, setzt auf <em>Promon</em>.
</p>
<p>
Mit <em>Nomorp</em> haben wir ein Werkzeug geschaffen, das die durch das <em>Promon SHIELD</em> eingeführten Sicherungs- und Härtungsmaßnahmen in weltweit 31 Finanz-Apps vollständig deaktivieren und zum Teil sogar umkehren kann. <em>Nomorp</em> arbeitet dabei vollautomatisch, geräte- und versionsunabhängig. Seine Anwendung führt oft dazu, dass neben klassischer App-Härtung auch etablierte Best Practices wie Zertifikats-Pinning oder auch das verschlüsselte Ablegen von sensiblen Kundendaten nicht mehr existieren. Obwohl der Fokus auf dem Marktführer Android liegt, wird der Vortrag ebenfalls zeigen, dass sich entscheidende Teile des Angriffs auf die entsprechenden iOS-Apps übertragen lassen.
</p>

Talk ID
8805
Event:
34c3
Day
1
Room
Saal Adams
Start
10 p.m.
Duration
00:30:00
Track
Security
Type of
lecture
Speaker
Vincent Haupert

Talk & Speaker speed statistics

Very rough underestimation:
150.2 wpm
938.8 spm
155.7 wpm
974.7 spm
100.0% Checking done100.0%
0.0% Syncing done0.0%
0.0% Transcribing done0.0%
0.0% Nothing done yet0.0%

Talk & Speaker speed statistics with word clouds

Whole talk:
150.2 wpm
938.8 spm
Vincent Haupert:
155.7 wpm
974.7 spm