23. Dezember 2012 01:03

Re: Warum sagt heise nicht mal deutlich, dass das Bullshit ist?

Neroon schrieb am 22. Dezember 2012 11:06

> Trojaner auf dem PC, ein Androidgerät hat eine Debugschnittstelle mit
> der man problemlos den Inhalt abgreifen und verändern kann.

Soso, die muss man allerdings erst explizit auf dem Telefon(!)
aktivieren, sonst debugged da gar nix.

> PS: SMS Abfangen ist für Trojaner trivial, QR-TANs knacken ist auf
> einem gerooteten Gerät aber nicht wesentlich schwerer und viele
> Androidgeräte werden per App gerootet. Es existiert praktisch auf 90%
> der Geräte eine passende Lücke weil es kaum Updates gibt.

Keine Ahnung wo du deine Zahlen her hast. Fakt ist aber, dass jemand
zwei Geräte (PC + Handy) übernehmen muss, und dass man ein
Android-Telefon ohne den aktivierten Entwickler-Modus (für den
Normaluser in Android 4.x gar nicht mehr so eifnach zu finden) nicht
so einfach vom PC aus mit adb erreichen kann.

 Es ist klar, dass es auf einem gerooteten Gerät Trojaner geben kann
die die TANs mitlesen können. Das ist aber für die Sicherheit des
Verfahrens an sich unerheblich. Mit denselben Argumenten könntest Du
ansonsten auch behaupten, dass PGP unsicher wäre, weil es noch
Windows-95-Systeme gibt, auf denen PGP läuft.

Das ganze Ding scheint auf OCRA zu basieren, das ist ein offener
Standard, und kryptografisch auf der Höhe der Zeit. Ich finds gut
wenn diese unsicheren alten TAN Listen endlich mal abgelöst werden!
Wie werden im proprietären ChipTAN eigentlich die Überweisungs-Daten
authentifiziert? Ist leider nicht wirklich klar ersichtlich...

Anzeige