Am 01.08.2011 16:42, schrieb Michael Hierweck: > Obwohl wir damit schon bei den trickreicheren Angriffen wären, würde es > wohl genügen, wahlweise das Smartphone oder den PC zu "übernehmen" und > bei nächsten Verbinden der beiden Partner den entsprechenden Partner. > (Beispiel: Trojaner infinziert iTunes und beim nächsten > App-Download/Datenabgleich das iPhone). Dann wären beide Geräte durch > eine Attacke kompromittiert und Handy-TAN geknackt. Ausgeschlossen, die beiden Geräte kennen sich nicht (zumindest bei mir). Das Handy ist kein Smartphone und weiß auch nicht was Apps oder dergleichen sind. Manchmal hat alte Technik auchh Vorteile. ;-) Für eine solche Übernahme ist aber schon eine ganze Kette von Exploits notwendig. Es muß ein Fehler vorhanden sein, damit man überhaut erst mal auf eines der beiden Geräte kommt und ein weiterer mit dem man bei der Synchronisation Schadcode auf das andere Gerät übertragen kann, der dann dort auch noch aktiv werden muß. In den meisten Smartphones können Apps auch nicht auf die SMS zugreifen. Vermutlich liegt das nur daran, daß man den Dinosaurier SMS nicht in eine App portieren will. Wozu auch? Wahrscheinlich wird aus gutem Grund verhindert, daß eine Software einfach so Telefonfunktionen nutzen kann. Sonst würden die Telefone wahrscheinlich permanent mit der Sexhotline oder teuren Supporthotlines telefonieren. > http://computer.t-online.de/zitmo-zeus-mutant-infiziert-smartphone-und-klaut-mtan-/id_43001418/index Wenn der Trojaner es auf meinen PC schaffen würde und das Passwort erspäht, kann er trotzdem nicht meine Handynummer herausfinden. Die steht nicht auf der Webseite und ich würde mich wundern, wenn die Bank diese als Bestätigung plötzlich abfragen würde. Spätestens bei der Aufforderung zur Installation des Zertifikats hätte der Angreifer bei mir verloren, wenn er meine Handynummer doch hätte. Ich würde sie a) ignorieren, b) dafür bestimmt keine WAP-Internetverbindung aufbauen und c) kein angreifbares System (Blackberry, Smartphone oder Symbian) haben. Wie unscharf ist denn die Aussage daß "Smartphones" angreifbar sind? *kopfschüttel* Da gibt es ja auch schon wieder viele verschiedenen Systeme. Software installieren wäre (fast) unmöglich. Dazu mußte für das Uralt-Nokia eine passende Software ankommen. Ich glaub, es gab eine Möglichkeit, Spiele zu installieren, aber die dürften vom Telefon/SMS-Teil abgeschottet sein. Das sind zuviele Faktoren, die einem halbwegs aufmerksamen Nutzer auffallen sollten. > Das skizzierte ich kürzlich einem für Online-Banking-Sicherheit > zuständigen Mitarbeiter einer Bank und dieser stimmte grundsätzlich zu. Grundsätzlich ist das möglich, wenn der Anwender "gutgläubig" handelt. Bei denen sehe ich aber auch einen Angriff unter Verwendung einer Chipkarte als realisierbar an. Wenn irgendwas einfach bestätigt wird, ohne nachzudenken, geht das auch bei der Chipkarte. Einige Banken setzen die Chipkarte z.B. mit einem Browser-Plugin ein. Das ist dann genauso angreifbar. > Der Grund nicht flächendeckend mit Chipkarte/Signaturkarte zu arbeiten, > ist nach seiner Aussage folgender: Die wenigsten Privatkunden wären > bereit, für vergleichsweise teure Klasse 3-Kartenleser Geld zu bezahlen. Die Banken müßten das mit den entsprechenden Argumenten nur den Kunden anbieten, dann würden einige damit anfangen, weil sie der Panikmache folgen oder diese zusätzliche Sicherheit ihnen den Preis wert sind. Man könnte auch erstmal bei den Businesskunden anfangen, die tragen die Kosten wahrscheinlich eher. Dann fallen mit der Masse auch die Preise. Unabhängig vom Preis könnten Banken die Kosten locker übernehmen, da sie damit die bei Ihnen entstehenden Schäden entsprechend reduzieren würden. Wenn a) der Preis weit genug gefallen und b) die Schäden bei den Banken groß genug sind, wird auch das marktfähig. Warum sind denn noch nicht alle EC-Karten mit Chip ausgerüstet? Weil der Schaden noch nicht groß genug ist, daß die Banken im Zugzwang sind. Der Schaden wird dort stillschweigend hingenommen und versucht auf den Kunden abzuwälzen. Gruß Rico
Attachment:
smime.p7s
Description: S/MIME Kryptografische Unterschrift