Re: Sicherheit bei Online-Bankgeschaeften

To: Debian Mailingliste <debian-user-german@lists.debian.org>
Subject: Re: Sicherheit bei Online-Bankgeschaeften
From: Michael Hierweck <team@edv-serviceteam.net>
Date: Mon, 01 Aug 2011 18:23:28 +0200
Message-id: <[🔎] 4E36D300.1090404@edv-serviceteam.net>
In-reply-to: <[🔎] 4E36CBDF.4020805@netbreaker.de>
References: <201107262156.16715.garafrut@web.de> <20110729111606.GA3109@pfmaster> <4E32A0CF.9050305@online.de> <201107291610.09871.Martin@lichtvoll.de> <4E3317CC.5050203@gmx.de> <hk1R0-7bb-9@gated-at.bofh.it> <4e35a17a$0$7612$9b4e6d93@newsspool1.arcor-online.net> <[🔎] CAN3KjqVe=PWRO+OJ28f9QdmEKme-oYRBzJXLFKXZJ_CDTKE37w@mail.gmail.com> <[🔎] 4E36B424.4000309@netbreaker.de> <[🔎] 4E36BB41.3070903@edv-serviceteam.net> <[🔎] 4E36CBDF.4020805@netbreaker.de>

On 01.08.2011 17:53, Rico Koerner wrote:
> Am 01.08.2011 16:42, schrieb Michael Hierweck:
>> Obwohl wir damit schon bei den trickreicheren Angriffen wären, würde es
>> wohl genügen, wahlweise das Smartphone oder den PC zu "übernehmen" und
>> bei nächsten Verbinden der beiden Partner den entsprechenden Partner.
>> (Beispiel: Trojaner infinziert iTunes und beim nächsten
>> App-Download/Datenabgleich das iPhone). Dann wären beide Geräte durch
>> eine Attacke kompromittiert und Handy-TAN geknackt.
> 
> Ausgeschlossen, die beiden Geräte kennen sich nicht (zumindest bei mir).
> Das Handy ist kein Smartphone und weiß auch nicht was Apps oder
> dergleichen sind. Manchmal hat alte Technik auchh Vorteile. ;-)

Ich habe auch kein Smartphone, das macht aber mobile TAN, aber noch
lange nicht *generell* sicher. Angesichts der zunehmendem Verbreitung
von Smartphones, auch bei "DAUs", halt ich es für extrem fragwürdig, ein
nach meiner Einschätzung unsicheres Verfahren entwicklen und neu
einzuführen zu lassen.

> Für eine solche Übernahme ist aber schon eine ganze Kette von Exploits
> notwendig. Es muß ein Fehler vorhanden sein, damit man überhaut erst mal
> auf eines der beiden Geräte kommt und ein weiterer mit dem man bei der
> Synchronisation Schadcode auf das andere Gerät übertragen kann, der dann
> dort auch noch aktiv werden muß.

Meines Erachtens genügt ein Exploit auf dem PC, der nicht einmal
notwendigerweise ein Root Exploit sein muss. Per PC-Software kann man
bekanntlich die Firmware eines Smartphones ersetzen, wie es oft bei
Jailbreaks gebraucht wird. Auf dem Handy nachinstallierte Software kann
teilweise auch "jailbreaken" oder gar "unlocken".

Jetzt behaupte bitte niemand, dass es es technisch ausgeschlossen ist,
dass jemand per "ungewolltem" Softwareupdate Zugriff auf beliebige
Handyfunktionen erhalten kann.

Es genügt ja, dass ein solcher Angriff per se nicht völlig absurd ist.
Evtl. lässt sich der Trojaner auch als Jailbreak für die neueste
Gerätegeneration erfolgreich tarnen und verbreitet sich blitzschnell als
ultimativer Geheimtipp.

Beste Grüße

Michael

-- 
EDV-Serviceteam Annika & Michael Hierweck GbR
Egerstraße 53, 44225 Dortmund (Germany)
http://www.edv-serviceteam.net

Reply to:

References:
- Re: Sicherheit bei Online-Bankgeschaeften
  - From: ppgeruro <ppgeruro@googlemail.com>
- Re: Sicherheit bei Online-Bankgeschaeften
  - From: Rico Koerner <rico@netbreaker.de>
- Re: Sicherheit bei Online-Bankgeschaeften
  - From: Michael Hierweck <team@edv-serviceteam.net>
- Re: Sicherheit bei Online-Bankgeschaeften
  - From: Rico Koerner <rico@netbreaker.de>

Prev by Date: Re: Sicherheit bei Online-Bankgeschaeften (was: Re: 32 oder 64 Bit)
Next by Date: Re: Debian als Client an Samba-Domäne
Previous by thread: Re: Sicherheit bei Online-Bankgeschaeften
Next by thread: Re: Sicherheit bei Online-Bankgeschaeften
Index(es):
- Date
- Thread