Hier das Szenario mal zu Ende gedacht: Smartphone und Desktop PC haben sich im gleichen Botnetz zusammengefunden. Es sollte ja dann kein Problem für den PC Trojaner sein, die notwendigen Daten an den Smartphone Trojaner zu übermitteln.
Die Sicherheit der M-TAN basiert auf der Annahme, dass das Endgerät, über das Buchungsdaten + TAN übermittelt werden, ein vertrauenswürdiges Endgerät ist. Diese Annahme ist einfach nicht mehr zutreffend. Die Chip-TAN ist da wohl die bessere Lösung, weil Manipulationen an dem Endgerät sehr viel schwieriger zu machen sind, als bei einem Smartphone. Ein Smartphone ist von der Sicherheit inzwischen nicht mehr besser als ein normaler Windows PC. Bei diesem kann der Anwender wenigstens noch Einfluss darauf nehmen, was auf dem PC passiert. Ganz paranoide Zeitgenossen haben eine externe Firewall, die jeden anderen IP Traffic als den vom Online Banking blockt. Bei einem Smartphone gibt es diese Möglichkeit nicht - jedenfalls meistens nicht. Anders sieht es aus, wenn der User 1. root Zugriff hat 2. sonst niemand root Zugriff hat In diesem Fall kann man mit iptables eine vergleichbare Config erstellen. Auf normalen Linux PC erscheint es auch als ganz sinnvoll, einen dedizierten User für das Online Banking einzurichten, der ein ecrypt Home-Dir hat. Ist der User nicht eingeloggt, dann kann selbst root da nichts sehen. Für unsichere Arbeiten wird ja wohl selbstverständlich ein User verwendet, der nicht root werden kann ;-) Es ergibt sich also sofort die nächste Frage: Was ist mit unterschiedlichen Usern ? So ein Login wie gdm / xdm etc. wäre also auch für ein Smartphone sinnvoll. Viele Grüße Christian Denny Schierz schrieb: > was bringt dir die M-Tan, ohne die dazugehörige Überweisung? Du kannst > die M-Tan eventuell abfangen, aber nützen würde dir das nichts, da die > Überweisung selbst im nachhinein nicht verändert werden kann. -- ---------------------------------------------------------------------------- PUG - Penguin User Group Wiesbaden - http://www.pug.org
