Den Forschern ist es gelungen, die Sicherheitsmechanismen beim kontaktlosen Bezahlen mit einer Visa-Kreditkarte zu überlisten. So konnten sie jeden Betrag abrufen, ohne eine PIN einzugeben.
Kontaktlose Zahlung mit Kreditkarte oder Praktisch Als bequem und sicher angesehen: Zum Bezahlen wird die Kreditkarte in der Nähe des Terminals aufbewahrt. Für höhere Mengen fügen Sie eine hinzu STIFT können eingegeben werden, niedrigere Beträge – je nach Anbieter liegt das Limit zwischen 30 und 50 Euro – können auch ohne Eingabe eines PIN-Codes bezahlt werden. Dies sollte den Prozess noch einfacher machen, während das Missbrauchsrisiko aufgrund der geringen Mengen überschaubar bleibt.
Aber genau diesen Mechanismus haben Forscher der ETH Zürich gestürzt, berichte ichT-Magazin heise.de
Forscher fälschen eine Handyzahlung
Es gelang ihnen, das Terminal davon zu überzeugen, dass für die Zahlung unabhängig vom Betrag kein PIN-Code erforderlich ist. Sie benutzten zwei Handys und ein selbst entwickeltes App. Das erste Mobiltelefon gibt vor, eine Kreditkarte oder ein Mobiltelefon mit Zahlungsfunktion zu sein, während ein anderes Mobiltelefon auffällig in der Nähe ist und über verwendet werden kann WLAN mit dem ersten verbunden.
Wenn Sie bezahlen, wird das erste Mobiltelefon an das Terminal gehalten. Das erste Mobiltelefon leitet die Daten dann unbemerkt vom Terminal an das zweite Mobiltelefon weiter. Es ist wieder in unmittelbarer Nähe des tatsächlichen VisaKarte und verarbeitet die Zahlung über die Karte.
Durch die Umgehung des ersten Mobiltelefons können jedoch die dort weitergegebenen Daten geändert werden. Tatsächlich sind solche Verschlüsselungsmechanismen so aufgebaut, dass selbst die geringste Manipulation die übertragenen Daten unbrauchbar macht.
Es mussten nur zwei Bits geändert werden
In diesem Fall fanden die Forscher jedoch eine Lücke: Indem sie nur zwei Bits änderten, konnten sie das Kartenterminal dazu verleiten, zu glauben, dass die PIN-Anforderung nicht erforderlich ist. Das Terminal bietet diese Option an, da typische Zahlungsmethoden für Mobiltelefone normalerweise einen Code oder Fingerabdruck auf dem Mobiltelefon anfordern und daher keine zusätzliche PIN-Anforderung erfordern.
Infolge dieser Lücke können Angreifer mit einer gefundenen oder gestohlenen Visa-Karte teure Einkäufe tätigen – und dann mit der Plünderung unentdeckt verschwinden. Immerhin gibt es einen ziemlich einfachen Weg, um den Fehler zu lösen, für den keine neuen Karten ausgegeben werden sollten, erklärten die Forscher
Speckfanatiker. Entdecker. Musikwissenschaftler. Internetaholic. Organisator. Introvertiert. Schriftsteller. Twitter-Fan. Student.
+ There are no comments
Add yours