Dezember 23, 2024

Technik-Smartphone-News

Komplette Nachrichtenwelt

Beachtung! VISA-Sicherheitslücke: Forscher knacken kontaktlose Zahlungen

Forschern ist es gelungen, die Sicherheitsmechanismen bei kontaktlosen Zahlungen mit einer Visa-Kreditkarte zu überlisten. So können sie jeden Betrag abrufen, ohne eine PIN einzugeben.

Fotoserie mit 11 Bildern

Kontaktlose Zahlung mit Kreditkarte oder Praktisch gilt als bequem und sicher: Zum Bezahlen wird die Kreditkarte in der Nähe des Terminals aufbewahrt. Für höhere Beträge ist eine weitere erforderlich, um auf der sicheren Seite zu sein STIFT Niedrigere Beträge – je nach Anbieter liegt das Limit zwischen 30 und 50 Euro – können auch ohne Eingabe einer PIN bezahlt werden. Dies sollte den Prozess noch einfacher machen, während das Missbrauchsrisiko aufgrund der geringen Beträge überschaubar bleibt.

Aber genau diesen Mechanismus haben Forscher der ETH Zürich aufgehoben, berichtet ichT-Magzin heise.de

Forscher fälschten eine Handyzahlung

Es gelang ihnen, das Terminal davon zu überzeugen, dass unabhängig vom Betrag keine PIN für die Zahlung erforderlich ist. Sie benutzten zwei Handys und ein selbst entwickeltes App. Das erste Handy gibt vor, eine Kreditkarte oder ein Handy mit Zahlungsfunktion zu sein, während ein zweites Handy unauffällig in der Nähe ist und über verwendet werden kann WLAN mit dem ersten verbunden.

Beim Bezahlen wird das erste Handy an das Terminal gehalten. Das erste Mobiltelefon leitet die Daten dann unbemerkt vom Terminal an das zweite Mobiltelefon weiter. Dies ist wiederum in unmittelbarer Nähe zum tatsächlichen VisaKarte und verarbeitet die Zahlung über die Karte.

Durch den Umweg über das erste Handy können jedoch die dort durchgelassenen Daten geändert werden. Solche Verschlüsselungsmechanismen sind tatsächlich so aufgebaut, dass selbst die kleinste Manipulation die übertragenen Daten unbrauchbar machen kann.

Es mussten nur zwei Bits geändert werden

In diesem Fall fanden die Forscher jedoch eine Lücke: Durch Ändern von nur zwei Bits konnten sie das Kartenterminal dazu verleiten, zu glauben, dass die PIN-Abfrage nicht erforderlich ist. Das Terminal bietet diese Option an, da typische Zahlungsmethoden für Mobiltelefone normalerweise einen Code oder Fingerabdruck auf dem Mobiltelefon anfordern und daher keine zusätzliche PIN-Anforderung erfordern.

Infolgedessen würde diese Lücke es Angreifern ermöglichen, teure Einkäufe mit einer gefundenen oder gestohlenen Visa-Karte zu tätigen – und dann mit der Beute unentdeckt zu verschwinden. Immerhin gibt es einen ziemlich einfachen Weg, um den Fehler zu beheben, für den keine neuen Karten ausgegeben werden müssen, sagten die Forscher

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert