Sicherheit der ING-App

    Zitat von Schofseggel

    Mal so daher gesponnen: Jemand hackt mein Handy, zeigt mir zwar meine beabsichtigte Überweisung an, tauscht hintenrum aber die Ziel-IBAN aus. Ich bestätige die Transaktion mit Handy/Entsperrung/PIN. Und schon hänge ich am Fliegenfänger.

    ...

    Ja, und dann kannst du das noch weiter spinnen. Stell dir nur mal vor, anschließend entführt dich jemand und verlangt Lösegeld. Dein ganzes Geld ist aber weg, weil es der Hacker geholt hat. Wenn du dann abends nicht nach Hause kommst, kann es sein, dass sich deine Frau auch noch aus dem Staub macht. Und das alles nur wegen der sch*** Banking-App.

    Zitat von Schofseggel

    Mal so daher gesponnen (...)

    Stell' dir mal vor, jemand findet noch irgendwo so einen klassischen Überweisungsträger, schreibt als Absender-IBAN deine drauf, weil er die im Müll oder in einem irgendeinem Datenleak gefunden hat und denkt sich irgendeine Unterschrift aus.


    Voll oldschool, aber viel einfacher.


    Zitat

    Jemand hackt mein Handy, zeigt mir zwar meine beabsichtigte Überweisung an, tauscht hintenrum aber die Ziel-IBAN aus.

    Extrem unwahrscheinlich.
    Erstmal muss das Handy-Betriebssystem entsprechende Lücken haben, dass einfach so der Speicherbereich einer anderen Applikation manipuliert werden kann...
    Oder eine Man-in-the-Middle-Attacke ändert die Daten in einer verschlüsselten Verbindung. Auch eher unwahrscheinlich, zumal die Bank-App oder das Backend so etwas eher verhindern sollte.


    Zitat

    Wenn ich dagegen meine Überweisung mit dem PC-Browser machen muss, und mit dem Handy nur die Freigabe machen kann, müsste der Angreifer PC und Handy synchron hacken. Das wäre schon deutlich schwieriger.

    Im Gegenteil. Bei dieser Methode reicht social engineering und/oder Phishing aus.
    Es reicht, wenn man dich überzeugt, aus irgendwelchen Gründen auch immer, die Freigabe auf dem Handy zu erteilen.
    Hier ist der Weg beschrieben: https://www.lto.de/recht/nachr…-betrug-ueberweisung-sms/

    Zitat von lieberjott

    Im Gegenteil. Bei dieser Methode reicht social engineering und/oder Phishing aus.
    Es reicht, wenn man dich überzeugt, aus irgendwelchen Gründen auch immer, die Freigabe auf dem Handy zu erteilen.
    Hier ist der Weg beschrieben: https://www.lto.de/recht/nachr…-betrug-ueberweisung-sms/

    Dieses LTO-Dokument hat aber überhaupt nichts mit unserem Szenario zu tun. Ich sage nicht, dass ich eine TAN eingebe, weil mich ein freundlich Herr anruft, sondern dass ich über mein Zweitgerät eine Überweisung an eine definierte IBAN freigebe, die ich soeben in meinen PC getippert hatte. Diese IBAN wird auf dem Handy ja angezeigt und nur wenn sie (und der Betrag) übereinstimmt, gebe ich frei.

    Dann nimmt man halt einen TAN-Generator, die gibt es heute immer noch bei einigen Banken.

    Man sollte jetzt aber nicht erwarten das man diese Dinger kostenlos bekommt wenn die Bank eine kostenlose Möglichkeit der Freigabe anbietet welche die Sicheherheitsvorgaben erfüllt.


    Im übrigen ist die mir Abstand größte Sicherheitslücke immer noch das Hirn und keine Hard,- oder Software. ;)

    Zitat von Schofseggel

    Es sind allerhand andere Szenarien denkbar,

    Die meistens aber an den Haaren herbeigezogen sind und so schlicht nicht möglich sind.

    Kontodaten werden per Phishing abgegriffen, also durch Dummheit des Anwenders. DAS IST DER WEG. Es sitzt nirgends ein schwarzgekleideter Hacker in seinem Keller und "hackt" sich in ein Handy ein und tauscht dann on-the-fly irgendwelche Sachen aus. Teilweise, weil es schlicht technisch nicht möglich ist. Laien checken das aber nicht, weil sie das technische Verständnis nicht besitzen. Die glauben dann halt die Geschichten von diesen pösen, pösen "Hackern". Hollywood lässt grüßen...

    Wir hatten das Banking nur auf dem Tablett zu Hause.


    Neue Lenovos bekommst du unter 100 €. Oder meine Schwester hat sich ein Am@z@n-Tablett geholt wo ihr Banking auch drauf funktioniert ohne das du es ständig bei dir hast und unter "Verlustängsten" leidest ;)

    Zitat von BS.C

    Die meistens aber an den Haaren herbeigezogen sind und so schlicht nicht möglich sind.

    Kontodaten werden per Phishing abgegriffen, also durch Dummheit des Anwenders. DAS IST DER WEG. Es sitzt nirgends ein schwarzgekleideter Hacker in seinem Keller und "hackt" sich in ein Handy ein und tauscht dann on-the-fly irgendwelche Sachen aus. Teilweise, weil es schlicht technisch nicht möglich ist. Laien checken das aber nicht, weil sie das technische Verständnis nicht besitzen.

    Dem kann ich nur beipflichten, zumal ich ja ganz oberflächlich versucht habe, zu begründen, warum diese theoretischen Angriffswege in der Praxis für die Privatanwender absolut nicht relevant bzw. existent sein. Und eben gerade der Glaube an diese ausgeklügelten Wege öffnet dann erst Recht das Tor, für vergleichsweise simple Attacken, wo letztendlich der Anwender selber (und nicht seine Geräte!) "gehackt" wird.


    Um mal einen Vergleich zu ziehen:
    Das ist genauso logisch stringent, wie sich vor den möglicher Weise gesundheitsschädlichen Inhaltsstoffen eines Feuerlöschers zu sorgen (...er könnte ja spontan explodieren oder aus Versehen betätigt werden) und deswegen einen solchen nicht anzuschaffen - aber total die Gefahr auszublenden, dass (vermutlich) die Top 5 der Brandursachen, die zudem oft tödlich sind, die Kerze, der Herd, die Zigarette, der LiIon-Akku und der Wäschetrockner sind - und keine Vorsorge gegen diese Gefahren zu treffen, geschweige denn ein Bewusstsein dafür zu haben.

    Ich beschreibe mal 2fa als jemand der in der it arbeitet.

    Echte 2 Faktor Authentifizierung beschreibt einen vorgang der pber 2 unterschiedliche übertrwgungswege realisiert wird.

    Diese sollten auch nicht am gleichen Ort gespeichert sein also nicht das selbe endgerät.

    Viele Banken machen dass nicht, durch all in one Apps oder teilweise sogar 2 unterschiedliche Apps auf dem selben Gerät die gar untereinander kommunizieren (was aufs selbe rauskommt), man kann sogar bei manchen einen Computer als „sicher“ kennzeichnen und braucht dann den 2. Faktor ebenfalls nicht.

    Ich persönlich halte nicht viel von der all in one Lösung. Eine pin am Handy und auch der Fingerabdruck sind bei etlichen Geräten aus it Sicht kein 2. Faktor, es besteht die theoretische Gefahr dass ein entsperrtes Gerät entwedet wird, oder im Falle vom Fingerabdruck dieser relativ einfach umgangen werden kann, für den Otto normal Nutzer dürfte dass aber keine große relevant haben, da sind andere Attacken einfacher als ein Gerät zu entwenden dieses zu entsperren und eine pin für die App zu erraten, spoofing oder phishing sind deutlich wahrscheinlicher. Natürlich sollte man seine pin nicht z.b. in die Handy Hülle oder das Portmonee legen.


    Bin übrigens selber bei der ing Kunde und habe die App schlichtweg auf einem Gerät welches ich nicht mit mir rumtrage.


    Mal davon Ein 2. Faktor muss nicht zwangsläufig ein tan Generator sein, eine chipkarte, ein Schlüssel oder ähnliches erfüllt diesen Zweck ebenfalls.

    Zitat von lieberjott

    LiIon-Akku

    Für diese Art von Brand benötigt man um sicher zu gehen, einen anderen als die üblichen Pulver Löscher (einen mit löschmittel F-500) Zumindest wenn der Akku größer ist z.b. die Bosch Power Core Akkus, oder grose powerbanks.

    Meine Empfehlung zur Sicherheit ist insbesondere bei größeren Kapazitäten, beim aufladen (hier entstehen die meisten Defekte) die Geräte möglichst auf einer Glas oder stahl Unterlage zu laden.

    Sorry, aber diese Aussage ist schlichtweg falsch.


    2FA, oder auch 2-Faktor-Identifizierung kann und darf sehr wohl über ein und das Selbe Gerät laufen.


    2 Faktoren besagt nur das ein Einloggen oder Ausführen von Aufträgen nur möglich ist wenn 2 Faktoren gegeben sind.

    Und diese Faktoren sind

    - Wissen (Pin, Pawwort)

    - Biometrie (Fingerabdruck)

    - Besitz (Handy,Tablett, Tan-Gerät)


    Wie schon weiter oben beschrieben kenne ich keine App, auch keine Voll-Banking-App, die diese Vorgaben nicht erfüllen.

    Im Gegenteil, wenn man nicht völlig Naiv ist und sein Smartphone sicher gesperrt hat durch PIN oder Biometrie hat man sogar 3 Faktoren.


    Und bei der ING ist es z.B.so das sich die App mit dem Gerät "verheiratet", man kann, selbst wenn man den Login hätte, sich nicht von anderen Geräten einloggen.


    Der Login selbst wird, neben dem eh schon verschlüsselten Übertragung, dabei überhaupt nicht direkt übertragen sondern dein PIN ist der Schlüssel.

    Sollte also jemand diesen, mit sehr hoher krimineller Energie ausgerechnet bei einer Oerson abfangen, kann er damit immer noch nichts anfangen weil er keinen Login und nicht dein Gerät besitzt.


    Und die App selbst ist mit Sicherheits Quellcodes versehen.

    Vereinfacht ausgedrückt testet die App sich bei jedem Login selbst über das Netz ob die Sicherheitsrelevanten Quellcodes verändert m/manipuliert wurden. Ist dies der Fall wird ein Login verhindert um nicht einer Manipulation Opfer zu werden.

    Zitat von H4KlAuS

    2FA, oder auch 2-Faktor-Identifizierung kann und darf sehr wohl über ein und das Selbe Gerät laufen.

    Dürfen tut man viele ob es sinnvoll ist etwas anderes,

    Übrigens Der fingerabdrucksensor ist meist auch per pin oder Passwort umgehbar, und ist daher das selbe System wie die pin/Passwort der App und gehört dadurch zur selben Kategorie, was ungünstig ist.

    Zitat von Asna

    es besteht die theoretische Gefahr dass ein entsperrtes Gerät entwedet wird, oder im Falle vom Fingerabdruck dieser relativ einfach umgangen werden kann

    Und wo ist hier eine Gefahr für mein Online-Banking?


    Mein Handy wird mir - von mir aus bereits entsperrt - aus der Hand gerissen.

    Der Dieb kann nun die Onlinebanking App öffnen und wird dann von dieser nach meiner PIN gefragt.

    Diese PIN hat er aber nicht und erraten wird auch schwierig, da nach 3(?) Fehlversuchen der Zugang gesperrt wird.

    Ich will auch getrennte Hardware und habe deshalb von der ING zur DKB gewechselt.


    Den Vogel abgeschossen hat aber die HVB:

    Erst getrennte TAN-App, dann Banking-App und TAN-App zusammengeführt.

    Aber man konnte das Limit der Banking-App auf 0 € setzen und weiterhin über die WEB-Oberfläche sein Banking machen und übers Handy freigeben.

    Bis sie dann das Limit für WEB und App zusammengeführt haben.

    Zitat von Asna

    Dürfen tut man viele ob es sinnvoll ist etwas anderes,

    Übrigens Der fingerabdrucksensor ist meist auch per pin oder Passwort umgehbar, und ist daher das selbe System wie die pin/Passwort der App und gehört dadurch zur selben Kategorie, was ungünstig ist.

    Sinvoll ist immer so eine Sache im Leben, es gibt diverse Dinge die sinnvoller sind als andere. Aber wann etwas Sinvoll ist entscheiden zum Glück nicht immer andere ;)


    Es sind nicht die selben Kategorien.

    PIN/Passwort bleibt immer wissen, Finger immer Biometrie.

    Wenn ich Biometrie bewusst umgehe durch Wissen umgehe ist das meine Sache. Es sind dennoch 2 Verschiedene Faktoren.


    BTW, ich glaube im Mutterland den Niederlanden, hat oder hatte die ING sogar eine separate TAN App.

    Zitat von Asna

    Bin übrigens selber bei der ing Kunde und habe die App schlichtweg auf einem Gerät welches ich nicht mit mir rumtrage.

    Was im Falle der ING App aber leider ein gar nicht mal sooo altes Gerät sein darf, da Android 9 als Mindestanforderung gilt. Meine Frau durfte letztes Jahr dadurch zwangsweise das Smartphone wechseln. Das Alte dient jetzt für alle anderen Banken als reiner TAN Generator".

    Natürlich sollte man sicherheitshalber sowieso ein neues Gerät anschaffen, wenn man keine Sicherheitsupdates mehr erhält. Aber die wenigstens Menschen machen das konsequent.

    Zitat von WerAuchImmer

    Was im Falle der ING App aber leider ein gar nicht mal sooo altes Gerät sein darf, da Android 9 als Mindestanforderung gilt.

    Android 9 kam 2018 raus. Der Support von Google für Android 9 lief bis 2022.

    Also sooo neu kann das Gerät Deiner Frau dann nicht gewesen sein! ;)


    Zitat von WerAuchImmer

    Natürlich sollte man sicherheitshalber sowieso ein neues Gerät anschaffen, wenn man keine Sicherheitsupdates mehr erhält. Aber die wenigstens Menschen machen das konsequent.

    100%ige Zustimmung.

    Insbesondere wenn man auf diesem Gerät Online-Banking nutzt sollte das System aktuell sein. Man bekommt ja auch schon für schmales Geld Android Smartphones die langfristig durch den Hersteller gepflegt werden (z.B. Samsung). Wenn man dann so ein 200€ Smartphone 5 Jahre nutzt ist es irgendwann doch auch mal gut.

    Und bei Apple (iPhone) ist der Support ohnehin vorbildlich.

    Ich habe bei der ING auf der App ein tägliches Überweisungslimit. Wenn ich darüber hinaus etwas überweisen möchte, geht das nur per Online-Banking (im Browser), nicht per App und da brauche ich dann noch die App als zweiten Faktor.


    Ich hab es gerade auf die Schnelle nicht gefunden, aber vermutlich kann man dieses Limit für die App irgendwo einstellen. Wenn Du Dir unsicher bist, vielleicht das Limit einfach runter setzen - da kann bestimmt der Kundenservice auch weiterhelfen.