Bestand wählen
Merken

Die fabelhafte Welt des Mobilebankings

Zitierlink des Filmsegments
Embed Code

Automatisierte Medienanalyse

Beta
Erkannte Entitäten
Sprachtranskript
ab es das ich bin ich
und an von einem alten Bekannten der schon in zum 32 C 3 und zum 3 1 3 uns in eine wundersame Welt entführt hat voller mobiler Endgeräte und unsicherer Verbindungen und dem vertrauen was wir darin stecken er ist Doktorand an der Uni Erlangen-Nürnberg Gerd und langen Namen und endlich sich aufgeschrieben haben mit mit erst er Doktorand Informatik interessiert sich besonders für die Sicherheit von Mobilgeräten und wird uns heute die fabelhafte Welt des Mobile Banking ist näher bringt grüß sollten wir bewusst mit mir Vincent Haupert wir herzlichen Dank für die Einführung ja fabelhaft ist ja ein sehr vielschichtiges Wort an dieser Stelle wichtig zuerst einmal die fabelhafte Zusammenarbeit mit meinem Kollegen Nicolas Schneider hervorheben ohne den diese Arbeit in der Form nicht nur in möglich gewesen wäre herzlichen Dank an ihn Jahr Onlinebanking ich denk mal so
gut wie jeder hier dürfte das machen ist hinlänglich bekannt ist seit jeher in den TAN-Verfahren seit dem 2. den vor 30 Jahren bin ich weg Test ja AG in München 1. es soll er es dagegen den TAN-Verfahren und ja also 1. Französin immer man loggt sich Onlinebanking Portal ein mit seinen Benutzername Passwort und danach muss eine Transaktion aufgeben mit der überragenden den Betrag und im 2. Schritt hat man dann irgendein Verfahren mit dem man die Transaktion bestätigen muss also das ist ganz klar dass ich als Element das es seit Anfang des Onlinebanking es gibt ja und die Art und Weise wie man in die
Tagen generiert empfängt abliest ist recht unterschiedlich die 1. 3 Verfahren die man jetzt hier auf dieser Liste steht das iTAN-Verfahren das im 1. Verfahren Verfahren sind hauptsächlich aus dem Motivation entstanden dass es relativ viele Schadensfälle in dem Bereich gab also verstehen vor allem und allen mit chipTAN ist man etwas einen Zenit an gereicht erlangt der ja technisch kann man es eine kaum noch besser machen gibt natürlich auch noch andere Aspekte die Benutzerfreundlichkeit wieder wichtig sind deswegen dienen so die Verfahren die photoTAN oder auch Apps an denn eigentlich mehr in die Richtung dass sie die Benutzerfreundlichkeit adressieren wollen was auch durchaus legitim dass der sehe hab ich eigentlich gar
nichts gegen etwas passierte TAN-Verfahren solange man 2 Tage 2 Geräte verwendet also wenn man eine 2 Geräte und Indizierungen macht hat man ja immer noch den Schutz das wenn ein Gerät kompromittiert ist das andere nicht haben zum sich automatisch mit in Mitleidenschaft gezogen wird so von daher ist es durchaus legitim und ich kann mich erinnern vor 2 Jahren als ich hier den Talk gehalten habe wo ich nach photoTAN gefragt und hat noch gesagt dass es eine relativ sowie das Verfahren weil sie implizit eigentlich vorsieht dass man 2 Geräte verwendet war muss man von dem anderen Diät-Apps kennen und das Kindergeld dann die Tage dann gibt es halt die Verfahren die pushTAN-Verfahren müssen für die Diebe 2 Apps realisiert sind also eine die Bank Dinge die andere nicht haben das gibt es mittlerweile seit Jahren und das Paradoxe ist dass man mittlerweile auch vor schuld an auf einem mir machen kann er also da kann man so nichts mehr Apps gen Sonne kommunizieren aber untereinander aber das zeigt eigentlich nur wie abstrus ist wird der ja aber eigentlich auch heute keinen über 2 m Verfahren vielleicht weil es auch eine Art und Weise um uns daran zu gewöhnen dass Einigkeit richtige Zwei-Faktor-Authentifizierung mehr gibt und eigentlich will heute jeder ein 1 er Verfahren implementieren das insofern
eigentlich bemerkenswert war das SMS Tan Verfahren um sich das mal anschaut hat eine Gerät Entwicklung durchgemacht von Spezialgeräten zum Netzwerkgerät also heute empfängt der jeder sein SMS auf dem Smartphone und ist im Prinzip auf eine bestimmte Art und Weise auch eine App mit der man das empfängt und damals war das 1. Mal möglich dass man von einem Gerät aus eine Transaktion auf gibt und bestätigt und da hat die deutsche Kreditwirtschaft Weise 2008 schon erkannt dass es keine so gute Idee ist dies impliziert bereits dass die Verwendung des mobilen TAN-Verfahren zum Beispiel aber nur ein mobiles Smartphone für beide Kommunikationszwecken nicht zulässig ist und eigenen Kunden dem für das Onlinebanking explizit ausgeschlossen wird dies impliziert bereits zur bisher Eklat jetzt sagen frag ich mich natürlich
mussten Leitsterne unterschiedlicher als ich über die auch alles auf einem Gerät gemacht und es hat vor 2 Jahren noch gezeigt haben einen Angriff auf auf das pushTAN-Verfahren gezeigten der Transaktions Manipulation des hatten hingegen
die ihr die Sparkassen nicht so richtig beeindruckt die haben gesagt ja das wann eigentlich alles nur Laborbedingungen es geht in Wirklichkeit gar nicht und es funktioniert nur bei genauem 1 Gerät genau 1 und bei genau einer Version und jedes Mal wenn wir ne neue Version raus bringt es mit hoher individueller und manuell aufwacht und genau das werden wir heute adressiert warum jetzt hab ich ja vorhin gesagt über
SMS-TAN hat man gesagt ja das machen wir nicht nur das ist das nicht sicher und es muss uns hier fragen müsste denn nun eigentlich anders bei diesen 1. also gibt es nicht mehr ganz Reifen Eigenschaft hab ich denke wichtig ist diese Absicherung durch 3. und zwar gibt es
mittlerweile einen recht großen Markt an an Drittanbietern die er her und er als Sicherheit verkaufen also 3. Anbieter Produkte und das wird er in eine kleine Auswahl an und denjenigen die wir uns heute etwas genauer anschauen werden ist rum und
so pro Monat das Produkt Common und Shield und er das ist die Information die wir stehen für alles haben von der Webseite und der Zweck von rund 4. Schutz von Aids in nicht vertrauenswürdigen Umgebung das ganzes universales heißt es egal was für eine Art das ist und das plattformunabhängig also geht unter Android und iOS sondern auch Lösungen für Windows ja und das anwendbar innerhalb von wenigen Minuten und das jetzt aus dem Video das nächste Zitat es erkennt und verhindert jede Gefahr in Echtzeit und reagiert indem es die notwendigen Schritte einleitet um die er vollständig zu schützen die er wird dadurch sicher verwendbar sogar auf hochgradig infizierten ihre wir uns das mal genauer an so was gibt es eigentlich so für Eigenschaften die diese ganzen Abhärtungs Geschichten implementieren also das 1 zu 2 Sparten gibt es den klassischen Abhärtungs Bereich der will statische und dynamische Analyse hauptsächlich verhindern und dann geht eher in den erneuert Bereich der geht dann eher um zu sich für die beste das ist also Sachen die Zertifikate nehmen und das mal die Anwendungsdaten verschlüsselt also klassische Sachen die die Entwickler normalerweise gemacht haben und deswegen werden mittlerweile zum Dreh und eine .punkt für so was und das ist gerade im Bereich des Mobile Banking
sind die ja eine wichtige Nummer wie verwendet man denn jetzt eigentlich das Brom ich das es verwenden wir für meine für meine Enkelkinder iOS aktive links unten dargestellt ist muss ich jetzt als Kunde noch eine Konflikt die da oben ist spezifiziert also welche geht es möcht den haben zum Beispiel gute Erkennung sagen jetzt mal und dann komm dieses unendlich welchem Tool und macht in denen vom ungeschützte er da aus und danach kann ich es sofort in die offiziellen msdos hochladen Jagd und das
sehr zu die Liste an Apps bis 31 International die verwenden jetzt die 2. ich kann haben sich keine Banking-Apps ,komma aus dem feines Bereich aber wollen nur noch die Bank mehr konzentrieren und hier noch spezielle eigentlich auf die deutschen
Banking-Apps und sie dann auch ganz deutlich die habe man in Deutschland die wichtige Stellung also man sich allein anschaut Commerzbank DKB der VR Banken und die Sparkassen Comdirect denn alles Banken die sagt Nein sagen zumindest jeden was er und da sieht man schon die sind wichtig in Deutsche Mark in den Markt der mobilen entwickelt wie schon
dass es tatsächlich eine App an oder machen ein Beispiel an eine App die vielleicht nicht jeder kennt und das ist jung das warum ist eigentlich Jomo
zu besonders interessant also wo eigentlich
erstmal ein ein F Authentifizierungsverfahren wie ich schon gesagt dass ein heutzutage nicht mehr besonders das macht eigentlich jeder mittlerweile und das ist entweder 6 nachempfunden es gibt als ich ja immer wieder das Gerücht dass es intern so genannten Namen wird wenn dieser genießt er also wirklich des Vorbildes Heimatsound 6. ja aber es interessant ist eigentlich das was die wahrscheinlich die neueste Version von Thron verwenden warum wird für sehr junge er ist und das er wieder geht davon aus dass auch von Star Finanz so um die Ecken irgendwie mit Sparkasse was das die dann nämlich schon die neueste Version verwenden denn sie sagen man auch sein ein Authentifizierungssystem gut jetzt wie funktioniert
denn das jetzt in Bissen technischer wird er also wenn dieses in die gleichen Tour von Kommunen kommt dann übernimmt das die man nectivity also den Einspruch .punkt er letztendlich und bindet dann eine native Biolitec eine dilettiert .punkt so Jahr zusätzlich für die dann eben noch da war Klassen 1 müssen wie auf ihre eigene Lage wie laden und in diesem Sinn Blue Coat und diesen und andere auch auf geht aber das spielt jetzt in den Talk erstmalig nicht so die Rolle des setzen und in ihre eigenen Klasse dann dann aber zusätzlich aus der EDV aus der eigentlichen er wie zum Beispiel jo alles für links und zum Teil von konstanten herausgezogen werden die Philip .punkt so rein gemacht der das gleiche gilt es bei jungen 14 von auch dem kleinen Zertifikat das geben die er braucht um mit mit dem Backend zu sprechen und das macht eben nicht mehr jung nur direkt sondern darum kümmert sich die Budgets .punkt so ja der die 1. Edit immer jetzt hat ist der ja gut wir wollen es ist immer viel los werden dann modifizieren die hat mir die diese Leiden wie dies nicht gleich da sich das anschaut dann
den einspringt .punkt von der wenn man eine aufmacht den das ein Begriff ist das Einkommen Fotograf also dass es nicht Windows abgestürzt oder so was das ist es tatsächlich einfach ein totales Control Flow fläzen Flexionen und ja dass wir sie einen anschauen also gibt schon auch Ansätze um bis zu ein Becken ist mit dem LVM auf Diskette gemacht wahrscheinlich passiert es diese ob das Open-Source-Variante ist oder übersetzt angefasst das kann ich nicht genau sagen aber auf jeden Fall das ist ökonomisch
nicht machbar sei daher also wir wollen über einfach ist so ja gut nächste Ansatz ist ein wenn wir die nicht modifizieren können ja dann entfernen die Diebe Wirklichkeit aus er wir sollten die jetzt so ein dann auch wieder nicht nur weil wir hier das Problem die ganz ist rings um die Konstanten des kleinen Zertifikat ist mir auch alle in dieser Industrie lebt .punkt so trennen deswegen müssen wir die eben erst mal los werden ja und
fangen an denkt die schaffen da eigentlich aus
also ist eine dreistelligen Session und Recht gesprochen die native wird von dem die wird .punkt so gelingt es immer vorher bevor man in die Promo verändern und kann es dann danach ja das ist also wenn da jetzt ein schön ausgegeben werden soll die Jumbo dann ersetzen Sie das mitten auf so oft sowie ihrer nette Flagge will und die hat dann immer in welchem er fest was sich drinnen und gibt dann hat es den zurück genommen also das sind auch nicht schwer mal das logisch was da gemacht was macht man meiner Zeit um um das zu umgehen ja wir schauen einmal was der höchst Index ihnen den und dann iterieren der im von 0 bis N drüber und 1. Nutzern der Kinder von da können wir das Ganze wieder rückgängig machen was sie gemacht haben ja so weit so klar das war dann danach hätte man sich die ganze Arbeit gar nicht machen braucht man kann einfach drüber Italien das nun zurückkommt ok konstanten haben sie mir
ähnliches Problem bei den konstanten ist sehr
gezogen hat man da eine konstante Diesbar vor -minus 1 und dann nach dem verwendet hat steht halt irgend guten Käse drin also irgendwas was keinen Sinn mehr macht das nichtfunktionale sich der Wert den die Klasse eigentlich wartet ja und stattdessen werden statischer Konstruktor installiert in der Klasse denn dafür sorgt dass Igor Fleckchen dieses staatlich Finale fällt das man könnte man mit Java-Code gar nicht also das kompilieren wenn man sowas hätte aber über gefleckten kann man solche und solche Sachen machen also über überträgt das dann er wieder richtig gesetzt bevor das 1. Mal auf zugegriffen wird Lösung es relativ ähnlich man geht einfach wenn alle Klassen rein die das eben aufrufen dieses pro Stück las und man muss das selber auf ohne stellt sich wieder mehr so habe das weg es kann ist ein Zertifikat
wird zum sind für die ja weil man kann es nicht mehr genau so vorgehen wie gerade eben als
Problem ist ja jung macht selber aus einem Java Code irgendwie ist dann danach geht das aber nicht in allen die erhöht bleibe oder nicht aber leider in irgendeiner Art und Weise zum geht in Rom und Unreinen und Promoter aber der diesen Blick fürs Internet DIV-Layer und die finden das Zertifikat zu und es kann ja nicht einfach über's auf die wir mal das Gewehr war das kleinste werden kann ein aber ist nicht so der denn außer mir denn jetzt da ja da ist die Decoder dann schauen wir hat mal im Speicher muss irgendwo im Speicher liegen dass nicht finden können jagen ja mal ein Jahr warten bis findet zumindest der gerade was wir gefunden haben bei einem noch viel interessantere Datenstruktur sollte des jetzigen
simpel aus aber das der Konfigurationsdatei her aber komme ich gleich noch drauf aber dass auch das was wir wollen ich das kleine Zertifikat für das bisschen 60 in gute da drin und ja gleichzeitig hat dann sind wir hat die schön Herzkammer ,komma
loslegen also was machen wir jetzt können wie unser eigenes Tool Genom Wort verwenden um diesen ganzen Prozess von kommen wieder rückgängig zu machen also des Landes aus dem Play-Store runter dann habe diese ungeschützte erst im nächsten Schritt müssen wir uns an eine eine leise Insekten der basiert und so auf dem wieder geht stellt und der sagt dann eben dafür das das Dings extrahiert werden dafür müssen wir das auf dem Gerät installieren und sobald er gestartet wird der Potsdamer diese ganzen der links raus und die Konfigurationsdatei auch beziehungsweise hat die älteste ein Zertifikat in dem in dem Fall auch genau das wird dann in unseren Schulen werden und dann kommt die ungeschützt er braucht also dann hat es nun das losgeworden nach der der ganze Prozess also von vorn runterladen über das Installieren in allen auf dem Gerät bis es aus 5 von Mord dauert so 5 bis 10 Minuten das Dauerkunden bisschen drauf an wie groß die Erde ist 7 10 MB sind dann daraus nicht so lange her und eines die 100 dem wert ist dann dauert es ein entsprechendes je länger weil wir der die Transformationen auf Basis von 6. 2 machen müssen und außerdem ist aber trotzdem keine Zeit eigentlich kommen Update raus laden wir direkt unsere und wie das was wir sollen aber trotzdem noch mal auf
diese auf diesem der Dings auf diese Konfigurationsdatei die wie gerade eben hatten weil es nicht einig bemerkenswert ist weich hat das schon die ganze Zeit gesagt diese ganzen ist für
Links und Konstanten diese alle in dieser hübsche .punkt so drinnen Anschein der dann gleich zustimmen weil damit eine Konfigurationsdatei gesehen warum sollte das dann an in seine Gedichte wie schon eine binäre Datei erwarten dass es wie alles schon in bestimmten Datenstrukturen können das also stellt sich aus diesen Richie .punkt soll die Geburtsstunde weit Pro und kompiliert und wird so an den Kunden ausgeliefert halt bei dem Kunden wird da gar nichts kombiniert stattdessen wenn sie jetzt die Grafik rechts anschaut es als Kunden hab ich eben nur diese und eine Konfigurationsdatei der giftiges und Romanistik welchen Tool und die hat schon diese bezieht .punkt so trennen hat aber natürlich auch ich mich Analyse und Modifications Module ja und die Rat dafür verantwortlich dass man und diese Konflikt verschlüsselt wird und immer den Verschluss wird liegen letztendlich in dieser Art mit drinne und wenn halt einfach geladen und der Band verwendet die dann entsprechend und das macht es einem
ein ganz anderes Angriffsszenario damit es längst noch ein bisschen strukturierte anschauen dann sehen wir eine solche Sachen die checkt die Bagger Exit und die Burger wechseln die Bürger über ok was heißt das heißt erstmals ist soll soll überhaupt auf die Bürger überprüfen was wenn ich mir die Bürger findet soll ich dann die abwaschen und der nächste Crash solle diese URL öffnen und das ist bei den anderen dann relativ analog sei vor der wie wärs denn wenn die diese Konfigurationsdatei einfach nach denen sie entschlüsselt wurde bevor sie gibt fast wird modifizieren und sagen einfach keine Schande über 0 3 in der Nähe und dann also zu dem Zeitpunkt aber schon bisschen geärgert weil das andere war echt viel Arbeit ich er war ja in genauen also das Patent bisher alles was er Ios allen erhöht spezifisch
jetzt nur ganz kurz auch zu iOS ja bei einer
letztendlich ähnlich da geht auch eine Konfigurationsdatei dies aber wesentlich weniger umfangreich und der insgesamt hab ich das Gefühl dass wir weniger gemacht das hat auch Binärcode kommunistischen transformieren die Mitarbeit kaut ehrlich sind aber ähnliche Checks analog zur zuende Welt drin und man könnte wieder sagen ja wie wir schreiben es halt ja es fassen aber die
Angriffe zu sammeln also die haben 2 verschiedene
andere gerade gesehen denn ein durch Klatschen sagte ein 2. Komplex war Welt Vorbild transformieren muss der darauf abzielt dass man das und entfernt und dann eben gerade er sich vorgestellt hat Mannschaft die Konfigurationsdatei um und hat die auch kein Problem mit dem Inkompatibilitäten bleibt alles kompatibel man sagte mir sie würde Faktoren mach einfach nichts so danach ist er der geht der komplett ungeschützt im Prinzip ja also die man kann damit die 1. Hersteller in Gremien Event in großem Stil auch keine Päckchen Schutz und dergleichen mehr ja jetzt können wir doch eigentlich weiter automatisieren also wird als Beispiel Angriff Transaktions Manipulationen und einige gesagt der gut erweitern wir doch nur mal so dass wir das fast vollständig automatisch machen können und dann hier als Beispiel das ist die VR-Banking-App eigentlich dass man immer nur machen Beine Transaktions Manipulation ist man ja bestimmt ist just Textfluss oder so was manipulieren und das in dem Fall die interessanten sind der werden ob Name des Empfängers ist hier falsch das muss natürlich eigentlich was anderes und so die über sein Schuldigen vergessen viele aber unter der Text Betrag das ist das ist richtig und das hat ja wirklich ne ID irgendwo und die muss man quasi manuell ermitteln und alles andere kann man dann vollständig automatisch machen das man kann dies alles entdeckten man muss sie nur wissen was man danach austauschen muss beziehungsweise das Auslesen muss so eine kleine Demo es kann sich aber mal
wieder junge zurücklehnen und wir keine Angst haben die nicht mit Ihnen weiter zum beschaulichen 1 1 anhand der vorher Banken an erst mal deswegen haben
wir heute Nachmittag gemacht deswegen ist es noch etwas ja ist etwas zügig entstandenes sei jetzt nur mal vor was mit gleich angesehen wird also Szenario ist das folgende wir mein Nexus 5 X mit 1 27 für die Patchlevel vom letzten Jahr also vor ungefähr einem Jahr und der warum ist das so bei ist der die wollten irgendwas wo man den wo man wo man Dateien schreiben darf die eine scheidender er also da die grausamen klassisch gutes Beispiel und uns auch ein gutes Beispiel damit ist es gar nicht so einfach in Wut im Sinne von SuperSU zu bekommen so dass es vor kurzem gelungen aber man kann als Streit Entertain schreiben eigentlich schreiben durfte ja und dann in den wird sich in der Nutzer eine scheinbar gutartige ab aus dem offiziellen bläst darunter soll ja schon vorgekommen sein dass der Leute es geschafft haben sowas zu platzieren und die etwa ersetzen in die Feuerwehr die Feuer für Goerdt miteinander ob Version wird man dann gleich auch sehr schön sehen und danach führte der Nutzer jede Transaktion über 15 Euro durch und wir durch eine Uhr 23 ist nicht so logisch wenn mal krimineller denkt aber er hat nach er jetzt und ja das Ebene Transaktions Manipulationen und bis auf das bestimmte er dieses grade gesagt wird das komplett vollautomatisch ist muss man nicht weiter antasten an mit manuellen Aufwand sondern Judy Aldis
war zwar nur kurz aufnimmt das der Version sieht das war das was gerade gesagt hat und das nächste Mal mit erst mal die VR-Banking-App auf und die Welt
ist schwarz war die hat dieses Flechsig Kyo gesetzt damit man keine Aufnahmen machen machen kann so also Resignation Index ok die funktioniert anscheinend sollen jetzt geht's weiter lädt man sich 1 aus dem Playstore runter und ja das ist echt so dass sie sich um diese Leiste und jetzt das was eine scheinbar gute er hat und jetzt wird wurde man in der gut ist deutet er das er die Fall denken ja nochmal auf um für den Autismus was
sich da eben einloggen aber die Transaktion und der geht diesmal an nicht noch kurz eingeben pro in die 15 Euro Dichter den gesagt hat mit der für Säckchen das die 3 aber nicht so wichtig jetzt in dem Fall vorgenommen und jetzt ist überweisen versendet worden das bedeutet im nächsten Schritt muss man die die Transaktionen der Entertainerin das sich über r freigeben und gleiches Spiel wurde auch wieder was gemacht werden muss auch wie das Passwort eingeben und dann der nächsten Schritt was wichtig ist ist natürlich hier dass die werden dass die Band stimmt es geht aber so schneller versichert dass es stimmt dass dennoch noch 15 aber immer noch genau also stimmt ja alles also die mit die Transaktion frei war
so genau da und steht auch in die 15 Euro der alles weiß und der Venetien
anschaut kann man so wirklich 1 Euro 23 was dafür wichtig ist was sehr wichtig ist ein also war das wirklich dass das vollautomatisch war also dass man nicht fehlen in das jeder sich noch meine Äpfel wirst hat oder wieso sondern man muss uns wir nur die Aldis bestimmen nachdem pro man draußen war und dann in geht das gut da kann ich ja zum Schluss
mal die Reaktionen der ja beteiligten Parteien anschauen und man ein Fazit
schließen dazu also pro ohne mit in der seit Ende November so gut einem Monat in Kontakt in die waren der sehr nett und professionell und es ist ja mittlerweile auch eine neue Version des Konzils entwickelt die mit mir einer Beispiele auch vor aber ich hatte es noch nicht die Zeit unter der genauer anzuschauen ich kann aber sagen es sind 10 funktioniert auf die Art und Weise nicht mehr also und funktioniert nicht wieder vor ich kann nicht genau sagen ja was wurde das genau gemacht und sich die große Anpassungen sind dazu machen kann sein dass es unglaublich viel Arbeit ist kann auch sein dass nicht viel Arbeit dass ich kann's aber nicht sagen der Punkt ist aber eigentlich also um die andere wirklich komplexe zu machen bräuchte Mama Individualisierung von den von den Apps man dass man kann ja alle Apps gleichartig Angreifer Smartphones Brummund Schild auf die gleiche Art und Weise dass alle diese 31 jetzt aber kann nicht Kanzler deaktivieren indem man diese Konflikte wie weit über das seit über gleiches Maß und in universaler Ansatz ist ja bei den Banken der Direktion ich seit Jahren würde bis heute keine Schadensfälle bekannt es natürlich ein merkwürdiges was den Verständnis von IT-Sicherheit aber gut wenn Sie jetzt aber mal anschaut die eigentlich überhaupt die Verteilung von diesen vom Mobile Banking so von etwas 7. an Verfahren dann sind sie einfach nicht relevant aktuell mit dem Markt ja also 5 bis 8 Prozent errungen hat letztlich eine Studie ergeben sind webbasierten TAN-Verfahren verbreitet und soll sich dieses Jahr nicht groß geändert haben also natürlich aktuell lohnt sich das noch nicht aber das kann sich für die Zukunft
ändern ja und das ist ein sehr schönes Zitat von Jens Bender und Dennis Kügler vom BSI ihm im Bereich des Salons hat sich eine besondere Kreativität in der Auslegung der Eigenschaft eine Zwei-Faktor-Authentifizierung entwickelt der kann nur zustimmen und jetzt wenn man jetzt bedenkt er sondern Mobile-Banking also nach 2 als auf einem Smartphone wird nicht mehr schlimmer ja es gibt es mittlerweile auch auf einem Windows und auf einem Mac gibt sie also ja ok klar machen gut jetzt um alles 2 Fragen kannst
ganz zum Schluss ist er hatte überhaupt sinnvoll also sind diese ganzen Produkte wieder Angebote im Chor wurden dann im ganzen Markt sind die an die Bauten Daseinsberechtigung ja natürlich an ihnen eine Daseinsberechtigung diese haben schon einen sinnvollen Schutz wieder einbetten aber das muss ein zusätzliches Schutzzeichen oder in der Frage des Enthaltungen ein Ersatz für unabhängige Zweitakter Authentisierung natürlich nicht als solche gerade eben gesagt werden und eben weil eben das sind auf der Maßnahmen und die können wir in dem Beispiel gezeigt haben einfach nicht verhindern dass jemand das ausnutzt da
gibt es viele Banken sind für den Tag wäre und dann wir einen weiteren Ausflug in die Welt das Mobile Banking das wir haben Zeit für einige Fragen also wenn Ihr Fragen habt reiht euch an den Mikrofonen auf hier gibt es 1 bis 3 davon 2 und so weiter die haben Nummern dran und dann könne noch ein paar Fragen wenn Sie kann ein paar Fragen zu beantworten ich kann aus wenigen Männern ansteht ok am Mikrophon 3 Frage ja genau wie lange Film dort ganz dort jetzt gibt ja für DRM-Systeme schauen inwieweit man die fast und im Chat direkt vor dem hast du beinahe Nachforschungen darüber ist also der das ist ein wichtiger Punkt und ich glaube eigentlich auch das Chanson oder allgemeine mit Wasser lexikalischen Environment eine Art und Weise wäre in der man sowas zufriedenstellend sicher auf einen Deal machen könnte weil er gerade im leuchtet blauen Vortrag von den liebe Jungs von Alice ist wie die würde mir das vielleicht widersprechen aber ich sag ich insgesamt das ist ein Ansatz auf dem der Gewinn war aus aufbauen aber das steigen was genau gesehen habe kann ich nicht behaupten dass ich gerade auch die GAL setzen auf mich ein natürlich auch das Problem dass er keine einheitliche Lösung bisher gibt dazu gibt in diesem war proprietäre Lösungen und ihre Gesichter wie durchsetzt einer nicht anders sich und das ist schwierig wegen von 1 bittet man die untersuchten das alle schon nach der PSD 2 Richtlinie sozusagen zugelassen also bezog sich zwar darauf dass die Fahrt von allen diesen Leuten ja die schreibt das explizit vor 2 Faktor Authentisierung ja also genau die Gäste 2 statt vor der Steigung Orten Beziehungen müssen müssen weiter ausholen verwundet gerade eben aber die genauen technische Standards dafür erst verabschiedet gibt es noch eine achtzehnmonatige Übergangsfrist wo die Backzeit haben sich dann zu passen aber halt in den ganzen der Videos mit ganz oft auch davon gesprochen gerade von diesen eher Drittanbietern sie Gäste des 2 kompatibel sein Essen bisschen schwierig zu sagen was die Gäste zweifelnder genau vorschreibt wie ich glaube so die letzte er letzte entscheidende zu getroffen wurde ist eher Richtung die Akzente die legte den Status quo man kann das aber meine noch immer zu lesen dass man eigentlich in denen sich eine Anzeige und eine nicht Kopierbarkeit geführten Besitz Element hat ja was von daher das ist nicht ganz klar so wenig wenn sie wenn wir die Banken Fragen seiner diesen die 2 konform .punkt eine Frage oder Frage dehnt sich der Engel gibt es Fragen aus dem Internet das scheint nicht der Fall zu sein ich habe noch eine Frage bei Mikrophon 2 hast so als wir außer hohen noch andere benötigen angesehen nein habe ich nicht das liegt aber einfach auch daran dass ist es gibt ein paar andere den deutschen Markt und verbreitet sind was das Verbreiten über einzelne dieses einsetzen Deutsche Bank setzt mittlerweile Hexan ein da gibt es in Wien noch die ihm die Liebe die Kugel verwendet und so was er hat also da kann ich nichts genau dazu sagen denn ich habe auch nicht dagegen pro und also er kein Problem mit denen das Problem seit er nicht mehr dass sie so über den deutschen Markt sind und die nicht festgestellt haben dass es so gut wie jeder verwendet hat deswegen hat sich gelohnt dass sich genau anzuschauen und es wenn jetzt jeder eine andere er hat uns Lösung verwenden würde hätte man ja auch mit den viel größeren Aufwand dazu müsste man die ja alle anschauen und so ist aber man kann immer einmal pro und deaktiviert und das gilt für alle denn das ist ja das Problem eigentlich so Mikrophon 1 letzte Frage wenn wir dann können wir das eine Frage zu dem Angriff Sektor in diesem Fall wurde einfach die er ausgetauscht und dann sagen wir mal leicht angreifbar gemacht wäre es denkbar vielleicht auch ein Stück guten Frauen dass man einfach neben dran artikelschen die das dann einfach und klar austauscht und so Applikation angreift wo das untersucht was ich man das machen die im Endeffekt nur als jemand der hier bin ja eine Komponente in dieser ein die das macht was man den Fall wurde sieht ersetzt aber dass die natürlich auch als ich glaube nur dass das Ersetzen von Elvis etwa so mitunter das einfachste was man machen kann als man wenn es nicht geroutet werden des ja wahrscheinlich nicht möglich von einer auf die andere nachher zuzugreifen und das auszutragen ist alles müsste natürlich gerodet werden oder oder gibt es andere also jemand der also es gibt immer einen es gibt es eine Unschärfe zwischen was ein gut Exploitation pöbelt ist Lächeln was ist die gute das Gerät der als gewohnte das geht es bei mir eine bewusste Entscheidung ich ich will jetzt bei mir super sudanische ist oder was auch immer also ist bei mir eine bewusste Entscheidung dafür verwende ich unter Umständen pöbelt es gelegt um das zu platzieren und aber der in einprügelt ist blechen an sich zum Beispiel der Dicke ausnutzen dass ich Persistenz das würde die ein ausgenutzt und dann wieder das so Spuren davon des Forensiker Frage das ist schwierig er und Sieg aber der große Unterschied Bild ich mach ich einmal um eine andere Seite zu platzieren und danach helfen die ganze Päckchen von den Lösung sowieso gar nichts mehr her kein zubeißen installiert ok noch einmal herzlichen Dank Vincent Haupert ein großer auf Herz und nicht psz
das ist n ich bin er ist ist und
Dijkstra-Algorithmus
Informatik
Mikroarchitektur
Uniforme Struktur
Informatik
Mobiles Endgerät
Internet
App <Programm>
Betrag <Mathematik>
Benutzerfreundlichkeit
Passwort
Transaktion
Richtung
App <Programm>
Paradoxon
Transaktion
Indizierung <Informatik>
Smartphone
Transaktionsverwaltung
Version <Informatik>
Version <Informatik>
Biprodukt
Lösung <Mathematik>
Digitales Zertifikat
Punkt
XML
App <Programm>
Laufzeitsystem
Echtzeitsystem
Information
Humanoider Roboter
Web-Seite
Softwareentwickler
WINDOWS <Programm>
Humanoider Roboter
App <Programm>
Große Vereinheitlichung
Downloading
Schnittmenge
Google
App <Programm>
Smartphone
Smartphone
Version <Informatik>
Version <Informatik>
Ecke
Objektklasse
Punkt
Total <Mathematik>
Kontrollfluss
TOUR <Programm>
Diskette
WINDOWS <Programm>
Zeichenkette
Konstante
Bindung <Stochastik>
Zeichenkette
Index
Bindung <Stochastik>
Index
Konstruktor <Informatik>
Objektklasse
Bindung <Stochastik>
Client
Laufzeit
Internet
Client
HTTP
Datenstruktur
Code
Eigenwert
Konfigurationsraum
Google
Konstante
Datei
Punkt
Konfigurationsraum
Systemzusammenbruch
Formation <Mathematik>
Emulator
Datenstruktur
URL
Debugging
Kryptoanalyse
Binärcode
Faktorisierung
Demo <Programm>
Transaktionsverwaltung
Betrag <Mathematik>
Culling <Computergraphik>
Komplex <Algebra>
Demo <Programm>
Humanoider Roboter
Ebene
Transaktionsverwaltung
Datei
Transaktion
Version <Informatik>
Version <Informatik>
Patch <Software>
Transaktion
Regulator <Mathematik>
Demo <Programm>
Index
Leiste <Technik>
Netzadresse
Schnittmenge
Formation <Mathematik>
Passwort
Emulator
Transaktion
App <Programm>
Digitale Videotechnik
Punkt
Anpassung <Mathematik>
Ruhmasse
Version <Informatik>
Version <Informatik>
Authentifikation
Biprodukt
Smartphone
WINDOWS <Programm>
Mathematische Größe
Dicke
Internet
Faktorisierung
Punkt
Finite-Elemente-Methode
Richtung
Hypermedia
Lösung <Mathematik>
Kugel
Komponente <Software>
Chatten <Kommunikation>
Unschärfe
Spur <Informatik>
Authentifikation
Standardabweichung

Metadaten

Formale Metadaten

Titel Die fabelhafte Welt des Mobilebankings
Serientitel 34th Chaos Communication Congress
Autor Haupert, Vincent
Lizenz CC-Namensnennung 4.0 International:
Sie dürfen das Werk bzw. den Inhalt zu jedem legalen Zweck nutzen, verändern und in unveränderter oder veränderter Form vervielfältigen, verbreiten und öffentlich zugänglich machen, sofern Sie den Namen des Autors/Rechteinhabers in der von ihm festgelegten Weise nennen.
DOI 10.5446/34946
Herausgeber Chaos Computer Club e.V.
Erscheinungsjahr 2017
Sprache Deutsch

Inhaltliche Metadaten

Fachgebiet Informatik
Abstract Bisher wurden Angriffe gegen App-basierte TAN-Verfahren und Mobilebanking von betroffenen Banken eher als akademische Kapriole abgetan. Sie seien, wenn überhaupt, nur unter Laborbedingungen und dazu unter wiederkehrend hohem manuellen Aufwand zu realisieren. Um diese Sichtweise zu korrigieren, haben wir das Programm Nomorp entwickelt, das in der Lage ist, zentrale Sicherungs- und Härtungsmaßnahmen in weltweit 31 Apps vollautomatisch zu deaktivieren und somit Schadsoftware Tür und Tor öffnet. Unter den Betroffenen stellen deutsche Unternehmen mit 20 Finanz-Apps die größte Fraktion.
Schlagwörter Security

Zugehöriges Material

Folgende Ressource ist Begleitmaterial zum Video
Video wird in der folgenden Ressource zitiert

Ähnliche Filme

Loading...
Feedback