Von (Zwei-Faktor-)Authentisierung, (zu?) mächtigen Apps, Smartphones, TAN-Generatoren und Sicherheitsbedenken

[oktavian]

@hquw bei spectre war irgendwie die Zeit wichtig und nach Bekanntwerden wurde die Genauigkeit in den webbrowsern reduziert auf 20ms oder so. Kenne mich da aber auch nicht gut aus. Dennoch ist das Gerät erst einmal sicher, zumal wenn man eines der installierten Betriebssysteme dediziert fürs Banking nutzt und keine anderen Seiten ansurft. Ich habe im browser einen scriptblocker am Laufen und die Banken spielen keine externe Werbung ein - also nur vom eigenen server. Das sieht sauber aus. Sehe daher keine Gefahr.

[hquw]

Ja, die Reduktion der Zeitgenauigkeit war eine der Abmilderungen. Das verlangsamt die Angriffe aber nur.

 

Zwei Betriebssysteme auf dem physikalisch gleichen Rechner ist relativ witzlos als Isolation. Die Betriebssysteme haben jeweils auf das andere Dateisystem ja vollen Zugriff. Das ist nur eine logische Isolation ohne wirklichen Schutz.

 

Du könntest jede beliebige Seite sicher ansurfen, wenn du nicht gerade offene Seitenkanäle durch eine zu alte CPU mit bekannten Lücken verwendest und zusätzlich ein aktuelles Betriebssystem und auch einen aktuellen Browser benutzt. Diese ganzen Tricks wie JavaScript zu blocken (bei einigen Webseiten gar nicht sinnvoll möglich bzw. stark von der jeweiligen Webseite abhängig) und nur "bekannte" Webseiten anzusurfen ist wirklich kein sinnvoller Schutz.

Wer wirklich paranoid ist, kauft ein dediziertes Gerät, hält es aktuell und nutzt es nur für diesen einen Zweck. Aber selbst das setzt ja voraus, dass man sich seiner anderen Sicherheitspraktiken irgendwie sehr unsicher ist -- ansonsten bräuchte man kein dediziertes Gerät, das vermeintlich sicherer ist als das Hauptgerät, was man sonst verwendet.

 

[Gast240408]

45 minutes ago, hquw said:

Du könntest jede beliebige Seite sicher ansurfen, wenn du nicht gerade offene Seitenkanäle durch eine zu alte CPU mit bekannten Lücken verwendest und zusätzlich ein aktuelles Betriebssystem und auch einen aktuellen Browser benutzt.

 

Ich frage mich, warum der Updateaufforderungen der Hersteller ueberhaupt existieren. Es ist eigentlich ein No-Brainer, dass vor einem Fix - auch durch ein automatisches Update - erst einmal Zeit liegt, in der eine Luecke froehlich benutzt wird. Und ist sie einmal gut genug, finden alle Updates der Zukunft nur noch ein kompromittiertes System vor, auf dem sie weiter ausrutschen. Ein einmaliges einzelnes kurzes Zeitfenster reicht.

 

Quote

Diese ganzen Tricks wie JavaScript zu blocken [...] und nur "bekannte" Webseiten anzusurfen ist wirklich kein sinnvoller Schutz.

 

Eine Angriffsflaeche zu verkleinern, ist immer sinnvoll. Und ein Browser mit einem einzigen Bookmark auf die gemeinte Bankseite, verbunden mit dem Habitus nur diese zu benutzen, ist eine einfach zu bewerkstelligende solche Verkleinerung. Dass man  diese Seite heutzutage praktisch  trotzdem fuer Javascript oeffnen muss, ist kein Grund den Pfennig mit der Mark zuzudecken und das fuer Gott und die ganze Welt des Netzes dann gleich auch noch zu tun.

 

Quote

Wer wirklich paranoid ist, kauft ein dediziertes Gerät, hält es aktuell und nutzt es nur für diesen einen Zweck. Aber selbst das setzt ja voraus, dass man sich seiner anderen Sicherheitspraktiken irgendwie sehr unsicher ist -- ansonsten bräuchte man kein dediziertes Gerät, das vermeintlich sicherer ist als das Hauptgerät, was man sonst verwendet.

 

Das sagt jetzt was? Ich hatte ein solches Geraet lange Zeit. Weil ich unsicher war. Und das wiederum war ich genau deswegen, weil ich vom Fach bin. Das ist nicht irgendeine Charakterschwaeche, sondern Demut.

[MilchreisMogul]

vor 3 Stunden von hquw:

Wer wirklich paranoid ist, kauft ein dediziertes Gerät, hält es aktuell und nutzt es nur für diesen einen Zweck. Aber selbst das setzt ja voraus, dass man sich seiner anderen Sicherheitspraktiken irgendwie sehr unsicher ist -- ansonsten bräuchte man kein dediziertes Gerät, das vermeintlich sicherer ist als das Hauptgerät, was man sonst verwendet.

 

Mit "dediziertes Gerät" ist gemeint, bspw. nur ein Gerät für das Online-Banking (konkret die TAN App) und Depotverwaltung zu kaufen, oder?

 

Ich behaupte, dass ich (als Laie) relativ verantwortungsvoll digital unterwegs bin. Dennoch sagt mir mein Bauchgefühl, dass die Verwendung eines dedizierten Gerätes für Finanzaktivitäten meine Sicherheit erhöht, im Vergleich zur der Alternative der Verwendung eines Geräts für alles (also Finanzen + weiteres). Das Gerät wird nur angeschalten und mit dem Internet verbunden, wenn Finanzgeschäfte zu erledigen sind, ansonsten bleibt es aus. Erhöht es die Sicherheit? Ich weiß es nicht? Vielleicht hat jemand dazu Ahnung...

[SlowHand7]

vor 28 Minuten von MilchreisMogul:

Mit "dediziertes Gerät" ist gemeint, bspw. nur ein Gerät für das Online-Banking (konkret die TAN App) und Depotverwaltung zu kaufen, oder?

 

Ich behaupte, dass ich (als Laie) relativ verantwortungsvoll digital unterwegs bin. Dennoch sagt mir mein Bauchgefühl, dass die Verwendung eines dedizierten Gerätes für Finanzaktivitäten meine Sicherheit erhöht, im Vergleich zur der Alternative der Verwendung eines Geräts für alles (also Finanzen + weiteres). Das Gerät wird nur angeschalten und mit dem Internet verbunden, wenn Finanzgeschäfte zu erledigen sind, ansonsten bleibt es aus. Erhöht es die Sicherheit? Ich weiß es nicht? Vielleicht hat jemand dazu Ahnung...

Natürlich erhöht das die Sicherheit.

Am besten sind vermutlich dedizierte TAN-Generatoren. Das bieten allerdings nicht alle Banken an und der Trend geht mittelfristig wohl in Richtung App.

Wenn man bei mehreren Banken ist ist es auch lästig 5 Geräte kaufen zu müssen. Und so ein Teil kann ja auch kaputt gehen.

 

Ich habe einfach ein weiteres Handy für den Hausgebrauch.

Das wird nur für die Freigabe von Bankgeschäften benutzt und sonst praktisch nicht.

Da sind auch keine Banking-Apps drauf wenn das geht sondern nur die für die Freigabe.

Das ist für mich eine ausreichende Sicherheit.

 

Abgesehen davon kann man größere Beträge und Depots bei Banken halten die nur auf ein Referenzkonto auszahlen.

Da ist ein Diebstahl praktisch unmöglich.

 

[Gierlappen]

30 minutes ago, SlowHand7 said:

[...]

Wenn man bei mehreren Banken ist ist es auch lästig 5 Geräte kaufen zu müssen. Und so ein Teil kann ja auch kaputt gehen.

[...]

Genau deswegen sollte jede Bank verpflichtet werden, , ein Multi-Banken-Gerät nach einem offenem Standard ohne Mehrkosten zu unterstützen, damit ein Kunde nur eines für alle Banken benötigt, wenn er kein Handy einsetzen kann oder will - oder ihm 10 Apps fast genauso auf den Senkel gehen wie 10 TAN-Generatoren ...

[hquw]

vor 2 Stunden von MilchreisMogul:

Mit "dediziertes Gerät" ist gemeint, bspw. nur ein Gerät für das Online-Banking (konkret die TAN App) und Depotverwaltung zu kaufen, oder?

Das bezog sich schon auf einen dedizierten Computer und gar nicht auf das TAN-Verfahren.

 

Ob ein dediziertes TAN-Gerät so viel sicherer ist als ein Smartphone mit einer App, bei der alles in einem ist, kann man so direkt gar nicht sagen, weil das sehr auf die Umsetzung ankommt. Tendenziell sind dedizierte TAN-Geräte natürlich einfacher zu verstehen und der zweite Faktor ist klarer getrennt. Aber wie schon auf den letzten Seiten gesagt: Moderne Smartphones haben auch dedizierte Krypto-Co-Prozessoren, die auch physisch sehr stark vom restlichen System getrennt sind. Also möglich ist damit einiges.

[oktavian]

Am 25.9.2023 um 15:30 von hquw:

Zwei Betriebssysteme auf dem physikalisch gleichen Rechner ist relativ witzlos als Isolation. Die Betriebssysteme haben jeweils auf das andere Dateisystem ja vollen Zugriff. Das ist nur eine logische Isolation ohne wirklichen Schutz.

was bringt denn der Zugriff bei Verschlüsselung? Ohne Verschlüsselung hat man wirklich Null Schutz. Windows Kennwort lässt sich dann auch einfach überschreiben für jeden Laien.

Am 25.9.2023 um 15:30 von hquw:

Diese ganzen Tricks wie JavaScript zu blocken (bei einigen Webseiten gar nicht sinnvoll möglich bzw. stark von der jeweiligen Webseite abhängig) und nur "bekannte" Webseiten anzusurfen ist wirklich kein sinnvoller Schutz.

das entfernt teilweise die Werbung und man sieht eben von wo scripte geladen werden.

 

vor 19 Stunden von SlowHand7:

Ich habe einfach ein weiteres Handy für den Hausgebrauch.

Das wird nur für die Freigabe von Bankgeschäften benutzt und sonst praktisch nicht.

Da sind auch keine Banking-Apps drauf wenn das geht sondern nur die für die Freigabe.

Das ist für mich eine ausreichende Sicherheit.

finde ich sehr praktikabel. Schon wegen backup der Authorisierung finde ich teils ein Zweithandy gut. Einige Freigabe apps laufen ganz ohne Internet. Dann geht natürlich push tan nicht, sondern man muss einen code mit Kamera abscannen oder von Hand abtippen.

 

vor 19 Stunden von SlowHand7:

Abgesehen davon kann man größere Beträge und Depots bei Banken halten die nur auf ein Referenzkonto auszahlen.

Da ist ein Diebstahl praktisch unmöglich.

finde ich auch gut, aber irgendwie muss man das Konto auch ändern können.

vor 17 Stunden von hquw:

Ob ein dediziertes TAN-Gerät so viel sicherer ist als ein Smartphone mit einer App, bei der alles in einem ist, kann man so direkt gar nicht sagen, weil das sehr auf die Umsetzung ankommt. Tendenziell sind dedizierte TAN-Geräte natürlich einfacher zu verstehen und der zweite Faktor ist klarer getrennt. Aber wie schon auf den letzten Seiten gesagt: Moderne Smartphones haben auch dedizierte Krypto-Co-Prozessoren, die auch physisch sehr stark vom restlichen System getrennt sind. Also möglich ist damit einiges.

Vorteil der app sehe ich in den besseren Daten, welche die Bank bereitstellen könnte. z.B. die IP-Adresse/Ort der freizugebenden Anfrage und auch die exakte Nutzung Kauf von Aktien xyz usw. Physische Generatoren zeigen meines Wissens maximal bei einfachen Überweisungen etwas mehr an. Theoretisch könnten die Freigabe-apps damit das Erkennen eines Angriffes etwas erleichtern.

[wpf-leser]

Nun ist es endlich soweit: Die neuen Pixel Phones bekommen "etwas" länger Support.

 

Dauert jetzt halt noch etwas, bis das auch auf die kleinere bzw. v.a. günstigere a-Reihe durchschlägt und das Ganze dann noch bezahlbar ist, aber mehr als 2 Jahre sollte das nicht dauern.

Bis dahin hat vielleicht auch der eine oder andere Hersteller nachgezogen. Fairphone ausgenommen, denn dort ist man Google etwas zuvorgekommen...

[MonacoFranzl]

Bin hierüber im Radio gestolpert ...

 

LG Heilbronn: Angebot von Banken-App und Zugangs-App auf gleichem Smartphone ist unsicher

Das Landgericht Heilbronn (Bm 6 O 10/23) hat entschieden, dass das sog. pushTAN-Verfahren, bei dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das auch den Zugang zur Bank über die auf demselben Smartphone installierte Bank-App (SecureGo-App) vermittelt, ein erhöhtes Gefährdungspotential aufweist, da statt der Nutzung getrennter Kommunikationswege nur noch zwei Apps auf einem Gerät verwendet werden.

Konsequenz: Nach Auffassung des Landgerichts liegt damit keine Authentifizierung aus mindestens zwei voneinander unabhängigen Elementen im Sinne des § 1 Abs. 24 ZAG vor, weshalb die für die Annahme eines Anscheinsbeweises für die Autorisierung eines Zahlungsauftrags im Sinne des § 675w BGB erforderliche sehr hohe Sicherheit nicht bejaht werden kann. [...]

 

LG Heilbronn: PushTAN-Verfahren weist erhöhtes Gefährdungspotential auf so dass kein Anscheinsbeweis für die Autorisierung einer Zahlungsanweisung im Sinne von § 675w BGB besteht

Das LG Heilbronn hat entschieden, dass das PushTAN-Verfahren ein erhöhtes Gefährdungspotential aufweist, so dass kein Anscheinsbeweis für die Autorisierung einer Zahlungsanweisung im Sinne von § 675w BGB besteht. [...]

Abgesehen davon gilt nach Auffassung des Gerichts, dass nicht nur das klassische PIN/TAN-Verfahren, [...], die für einen Anscheinsbeweis erforderliche sehr hohe Wahrscheinlichkeit vermissen lässt [...], sondern auch das vorliegend zur Anwendung kommende pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt. Denn die für die Sicherheit des smsTAN-Verfahrens wesentliche Trennung der Kommunikationswege (Übermittlung des Zahlungsauftrages übers Internet am Computer und Mitteilung der TAN per SMS ans Mobiltelefon) wird damit aufgegeben, wobei der besondere Komfort dieses Verfahrens (gesamter Zahlungsvorgang ohne Zusatzgerät mit nur einem einzigen Mobilgerät) deren Verbreitung gefördert hat [...].

 

Urteil: Landesrecht BW - Bm 6 O 10/23 | LG Heilbronn 6. Zivilkammer | Urteil | 1. Das sog. pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) ... (landesrecht-bw.de)

[dimido]

Aber beim Lesen des gesamten Artikels stellt man fest, daß nicht die Technik sondern wieder mal der Faktor Mensch gehackt wurde.
Und am Ende hat der Kläger keinen Schadensersatz bekommen.

Aber wie will man die Schwachstelle Mensch aus der Gleichung herausbekommen?
Denn am Ende muss der Kunde ja die Zahlungen irgendwie authorisieren (mit welcher Technik auch immer) und solange man ihn per social engineering übertölpeln kann, wird das Problem bleiben.
Der Mensch ist und bleibt die am einfachsten anzugreifende Schwachstelle.

Viele machen sich Sorgen um die Technik, aber wo sind denn die Fälle in denen der ausschließliche Angriff auf die Technik zum Erfolg geführt hat?

 

Am 22.9.2023 um 14:50 von myrtle:

Es faellt auf, dass hier ein relativ hoher Prozentsatz derjenigen die in IT Geld verdienen die eher konservativen Ansaetze fahren. Ich auch

Könnte das nicht einfach auch nur ein Information-Bias sein?

Denn wenn man mehr über die Technik weiß, tendiert man vielleicht auch eher dazu, das damit verbundene Risiko zu überbewerten im Vergleich zu den anderen Risiko-Faktoren (Faktor Mensch)?

 

PS: Ich verdiene mein Geld in der IT, in der Bank IT sogar

[slowandsteady]

vor 32 Minuten von dimido:

Der Mensch ist und bleibt die am einfachsten anzugreifende Schwachstelle.
Viele machen sich Sorgen um die Technik, aber wo sind denn die Fälle in denen der ausschließliche Angriff auf die Technik zum Erfolg geführt hat?

+1

Zumal bei reinen Angriffen auf die Technik meist ein nicht vernachlässigbarer Anteil von Kunden betroffen sein dürfte und nicht nur ich alleine. Dann geht das durch die Presse und ggf. macht die BaFIN Druck bei der Bank. Mache ich als Mensch einen Fehler (Phishing, schlechtes Passwort), dann bin ich im Zweifel der einzige Dumme und habe eine viel schlechtere Position gegenüber der Bank.

 

Side Note: Ich habe ein Google-freies Handy (d.h. kein Play Store!), dass so noch System-Updates bekommt obwohl der Hersteller nicht mehr liefert (LineageOS). Obwohl es nicht gerootet ist und vermutlich viel weniger Angriffsfläche hat als das 08/15 Handy (nur sehr wenige Apps installiert, keine Bloatware), funktioniert zB die DKB Tan App nicht, einfach weil Custom ROMs pauschal nicht unterstützt werden. Eine Begründung gibt es nicht.

[wpf-leser]

vor 53 Minuten von slowandsteady:

Eine Begründung gibt es nicht.

Die Begründung ist in solchen Fällen mWn. regelmäßig ein geöffneter Bootloader, der die Authentizität des gestarteten Systems nicht mehr bestätigt.

[slowandsteady]

vor 35 Minuten von wpf-leser:

Die Begründung ist in solchen Fällen mWn. regelmäßig ein geöffneter Bootloader, der die Authentizität des gestarteten Systems nicht mehr bestätigt.

Der offene Bootloader schützt mich vor NSA-Attacken mit Persistenz oder bei physikalischem Zugriff, viel zu kompliziert für mich Otto-Normalo. Die Bloatware und Google Spyware (die ich ohne Bootloader nicht entfernen kann) überträgt dagegen meine Daten, meinen Freundeskreis und den Live-Standort an US-Konzerne und den Handyhersteller. Meine Entscheidung ist klar. 

Ich kann die DKB ja nutzen, jetzt halt mit der "DKB"-App und Freigabe durch Biometrie. Diese 1-App Lösung prüft es nämlich nicht. Und das soll dann sicherer sein... Aber ist sowieso nur fürs Gemeinschaftskonto, da sollte sich der Schaden in Grenzen halten....

 

[wpf-leser]

vor 5 Stunden von slowandsteady:

Und das soll dann sicherer sein...

Das kann es durchaus sein. Ist ja nur ein Aspekt...

 

Jedenfalls gut zu wissen, dass die DKB-App läuft. Habe die (nächste) Smartphone-Umstellung noch direkt vor mir, mein "stärkstes" Gerät mit LOS20 (allerdings mit GApps) wartet noch auf Inbetriebnahme. Das Begleitgerät wird geschlossen bleiben - den Fall der Fälle...

[MonacoFranzl]

vor 8 Stunden von dimido:

Aber beim Lesen des gesamten Artikels stellt man fest, daß nicht die Technik sondern wieder mal der Faktor Mensch gehackt wurde.
Und am Ende hat der Kläger keinen Schadensersatz bekommen.

[...]

Ja schon richtig, aber nach meinem laienhaften Verständnis scheint aber auch das pushTan-Verfahren zumindest einen Seitenhieb abbekommen zu haben ... oder habe ich das falsch verstanden?

[dev]

vor 8 Stunden von dimido:

Könnte das nicht einfach auch nur ein Information-Bias sein?

Denn wenn man mehr über die Technik weiß, tendiert man vielleicht auch eher dazu, das damit verbundene Risiko zu überbewerten im Vergleich zu den anderen Risiko-Faktoren (Faktor Mensch)?

 

PS: Ich verdiene mein Geld in der IT, in der Bank IT sogar

Information-Bias & Bank-IT - paßt

[dimido]

vor 30 Minuten von dev:

Information-Bias & Bank-IT - paßt

Dies war auf die Aussage bezogen, daß solche Leute eher eine "konservativen" Ansatz fahren würden.

Aber das trifft auf mich gerade nicht zu.

Ich bin nicht nur "Kunde" bei meinem Arbeitgeber sondern auch noch bei 3 weiteren Banken und nutze für alle 4 die jeweiligen 2FA-Apps auf meinen iPhone + iPad

[dev]

vor 19 Minuten von dimido:

Dies war auf die Aussage bezogen, daß solche Leute eher eine "konservativen" Ansatz fahren würden.

Aber das trifft auf mich gerade nicht zu.

Ich bin nicht nur "Kunde" bei meinem Arbeitgeber sondern auch noch bei 3 weiteren Banken und nutze für alle 4 die jeweiligen 2FA-Apps auf meinen iPhone + iPad

Weil du durch deine Arbeit einen Positiv-Information-Bias bzgl. Bank-IT hast, siehst du aus deiner Sicht keine Probleme und nutzt die angebotenen Verfahren.

 

Mit fällt sofort das hier ein: https://www.heise.de/thema/Exploit

 

 

Durch Offline-TAN-Generatoren, hat man meiner Meinung nach, eine viel geringere Angriffsfläche.

 

Vor ein paar Monaten hatte ich die Bank wegen der Einstellung von Offline-Verfahren gewechselt, das ist die, welche aktuell mit Softwareproblemen kämpft.

 

[Gierlappen]

8 hours ago, slowandsteady said:

Side Note: Ich habe ein Google-freies Handy (d.h. kein Play Store!), dass so noch System-Updates bekommt obwohl der Hersteller nicht mehr liefert (LineageOS). Obwohl es nicht gerootet ist und vermutlich viel weniger Angriffsfläche hat als das 08/15 Handy (nur sehr wenige Apps installiert, keine Bloatware), funktioniert zB die DKB Tan App nicht, einfach weil Custom ROMs pauschal nicht unterstützt werden. Eine Begründung gibt es nicht.

Ich habe etwas Ähnliches in Betrieb, da sieht aber die pushTAN-App nicht, daß sie mein Handy und mein Tablet mit LOS nicht unterstützt. Magisk Hide und Island machen es möglich. Bis auf die eine Bank, DAX-notiert mit dem gelben Logo, habe ich so alle zum Laufen gebracht. Viele Apps kümmern sich gar nicht um OS / Root-Status oder lassen sich nur mit Magisk Hide zum Laufen bekommen, was ich sehr begrüße.

[dimido]

vor 11 Minuten von dev:

Weil du durch deine Arbeit einen Positiv-Information-Bias bzgl. Bank-IT hast, siehst du aus deiner Sicht keine Probleme und nutzt die angebotenen Verfahren.

Und wo sind denn die konkreten Beispiele, daß damit ein 2FA abgesichertes Verfahren unterlaufen werden konnte?

Ich schließe nicht aus, daß durch Sicherheitslücken mal meine Zugangsdaten abgefished werden könnten. Who knows.

Aber durch 2FA (auch wenn es auf dem gleichen Gerät ist) kann damit so ohne weiteres kein Schaden angerichtet werden.

vor einer Stunde von MonacoFranzl:

Ja schon richtig, aber nach meinem laienhaften Verständnis scheint aber auch das pushTan-Verfahren zumindest einen Seitenhieb abbekommen zu haben ... oder habe ich das falsch verstanden?

Ich kann die Begründung des Gericht nicht nachvollziehen, denn der konkrete Fall wäre so auch mit App + PC passiert und außerdem sehe ich es so wie wpf-leser in #9 bereits geschrieben hatte:

Zitat

Die Flughöhe der Idee einer Mehr-Faktor-Authentisierung ist eine viel höhere. Die Lesart aus dieser Sicht müsste sein, dass weiterhin ein (angenommener) Faktor (i.S.d. 2FA) des Wissens (Anmeldedaten) und des Besitzes (Smartphone, mit dem die App "gekoppelt" ist) im Spiel ist. Es ist für das Modell schlicht unerheblich, ob man dafür zwei Geräte benutzt oder nicht - zumal eines der Geräte (im Normalfall das weitere Gerät (häufig "der PC")) normalerweise noch nicht einmal ein "registriertes" / "gekoppeltes" Gerät ist und folglich überhaupt keinen "Faktor" im Sinne einer MFA darstellen kann. Dass die Nutzung zweier Geräte von der technischen Umsetzung her eine gewisse Zusatzsicherheit ungewisser (tendenziell sehr geringer) Relevanz mit sich bringen kann, ist einfach ein anderes (durchaus gültiges!) Paar Schuhe. Es hat mit der 2FA selbst aber nichts zu tun.

 

[dev]

vor 12 Minuten von dimido:

Und wo sind denn die konkreten Beispiele, daß damit ein 2FA abgesichertes Verfahren unterlaufen werden konnte?

Ich schließe nicht aus, daß durch Sicherheitslücken mal meine Zugangsdaten abgefished werden könnten. Who knows.

Aber durch 2FA (auch wenn es auf dem gleichen Gerät ist) kann damit so ohne weiteres kein Schaden angerichtet werden.

Wenn man die Zugangsdaten hat und dein iPhone fernsteuern kann, würde ich schon sagen, das man dann auch auf dein Konto/Depot zugriff hat, weil ja alles zur Verfügung steht.

 

Quelle:

 

Bzgl. konkrete Beispiele, kenne ich keine, aber das werden Banken auch nicht an die große Glocke hängen, solange nicht zu hohe Schäden auftreten.

[slowandsteady]

vor 14 Stunden von dev:

Wenn man die Zugangsdaten hat und dein iPhone fernsteuern kann, würde ich schon sagen, das man dann auch auf dein Konto/Depot zugriff hat, weil ja alles zur Verfügung steht.

Genau diese Schwachstelle die du referenzierst ist aber Geheimdienstlevel : BLASTPASS: NSO Group iPhone Zero-Click, Zero-Day Exploit Captured in the Wild - The Citizen Lab

Zitat

Last week, while checking the device of an individual employed by a Washington DC-based civil society organization with international offices, Citizen Lab found an actively exploited zero-click vulnerability being used to deliver NSO Group’s Pegasus mercenary spyware. 

Für schnöden Bankbetrug wird niemand so einen Exploit verwenden. Das ist viel zu viel Aufwand und auch ökonomisch unsinnig. Einen solchen Exploit kann man für 2 Millionen legal an Zerodium verkaufen, Auszahlung ist sogar per Bitcoin möglich. Warum sollte ich ihn dann für Bankbetrug an popeligen Endkunden ausnutzen, wo dann vielleicht 2000 Euro pro Person rumkommen (=Limit)? Und wenn es doch für Bankbetrug ausgenutzt werden sollte, dann werden sicher mehr als eine Person angegriffen, sonst lohnt es sich nicht (sobald entdeckt wird, wird der Bug ja behoben und ist dann wertlos).

 

Für die paranoiden gibt es bei Apple den "Lockdown Mode". Der hätte diesen Exploit auch verhindert, kommt aber mit einem gewaltigen Preis an Bequemlichkeit.

[dev]

vor 52 Minuten von slowandsteady:

Genau diese Schwachstelle die du referenzierst ist aber Geheimdienstlevel : BLASTPASS: NSO Group iPhone Zero-Click, Zero-Day Exploit Captured in the Wild - The Citizen Lab

Und du meinst das nur die in der Lage sind, LOL.

[slowandsteady]

vor 24 Minuten von dev:

Und du meinst das nur die in der Lage sind, LOL.

Wer unser "Gemeinschaftskonto" mit vielleicht 3000€ mit einem 2 Millionen Exploit ausnutzen will - go for it. Fürs mein eigenes Depot mit sechsstelliger Summe habe ich "klassisches" 2FA, nur bei der DKB muss ich die "All-in One" App nutzen, weil die TAN App nicht geht ...  Zwischen "Schwachstelle finden" und "Weaponized Exploit" dazu schreiben ist extrem viel Aufwand - man muss DEP, ASLR usw. umgehen, dann vielleicht noch für verschiedene Platformen anpassen und testen. Stuxnet hat mutmaßlich 50 Millionen Euro Entwicklungsaufwand gekostet. Und bei jeder Verwendung eines solchen Exploits hat man dann eine Gefahr, dass es so jemand wie zB "Citizen Lab" entdeckt und den Bug dem Hersteller meldet, woraufhin der ganze Aufwand und Exploit wertlos wird.

 

Wenn ich die Bankkonten von Privatpersonen leerräumen will, dann mache ich Schockanrufe, Enkeltrick und kaufe gecrackte Passwörter aus irgendwelchen Dumps für Credential Stuffing oder noch viel einfacher "Fakeanzeigen" auf ebay Kleinanzeigen - da brauche ich keine hochqualifizierten IT Security Leute mit >100k Jahresgehalt und die Erfolgschance ist höher. Die Realität bei "Hacking" ist nicht wie bei Password Swordfish