銀行取引に携帯電話を使用する利便性は、多くのユーザーにとって欠点となる可能性があります。合計 31 のオンライン バンキング アプリに、ハッカーが機密データに簡単にアクセスできるセキュリティ ホールがあることが判明しました。これらには、Commerzbank、Stadtsparkassen、Comdirect、Fidor Bank のアプリが含まれます。
TAN 番号は必要に応じて送信できます
フリードリヒ・アレクサンダー大学エアランゲン校の IT セキュリティ研究者、ヴィンセント・ハウパート氏とニコラス・シュナイダー氏は、さまざまなオンライン バンキング アプリの保護メカニズムを回避するだけでなく、完全に乗っ取ることもできることを発見しました。考えられる攻撃:
- アプリの不正な実行とコピー
- IBAN の変更
- TAN 番号 (トランザクション番号) を任意のデバイスに送信する
スマートフォン上のバンキングおよびTANアプリ
このようなハッカー攻撃が成功するための前提条件は、銀行顧客がバンキング アプリと TAN アプリの両方をスマートフォンまたはタブレットにインストールして使用していることです。さらに、影響を受けるすべてのオンライン バンキング アプリは同じ外部サービス プロバイダー Promon によって保護されているため、セキュリティ ギャップが発生する可能性があるようです。
熟練したハッカーには長い時間がかかりますが、攻撃にはそれだけの価値があります
影響を受けるアプリのユーザーにとっての利点: Haupert 氏によると、経験豊富なハッカーでも、指示があっても 1 ~ 2 か月かかるとのことです。さらに、ハッキングのコードはセキュリティ上の理由から公開されません。このセキュリティ研究者は、年末の Chaos Computer Club カンファレンスで攻撃そのものを発表したいと考えています。
しかし、ハウパート氏の同僚であるシュナイダー氏も、このシナリオでは単一の脆弱性が多くの市場参加者にとって致命的となる可能性があるため、ハッカーにとってそのような攻撃は価値があると強調した。
今のところ犯罪目的の攻撃はない
プロモン氏によると、セキュリティ研究者が実施したテスト以外では、「セキュリティ ソリューションを回避できた犯罪者はいない」という。 また、セキュリティにおける既存のギャップを埋めるために、すでに Haupert と協力しています。合計すると、Promon は世界中で約 1 億人のユーザーを保護する責任を負っています。
銀行は対応戦略に取り組んでいます
影響を受けたすべての銀行は、結果を詳しく調べると述べた。ただし、予防よりも、ハッカーの攻撃を迅速に検出することに重点が置かれています。
一方で、銀行業界からの批判はセキュリティ研究者のハウパート氏に向けられた。ハウパート氏は、ITセキュリティの世界ではいつものように、上場までのギャップを埋めるために企業に3か月の猶予を与えなかった。ハウパート氏はこれを拒否し、問題はコンセプト自体にあり、デバイスを介した銀行取引は一般的に安全ではないと主張した。