Forscher haben die Sicherheitsmechanismen bei kontaktlosen Zahlungen mit einer Visa-Kreditkarte erfolgreich umgangen. Auf diese Weise können sie einen beliebigen Geldbetrag abrufen, ohne einen PIN-Code einzugeben.

Fotoserie mit 11 Bildern

Kontaktlose Zahlung mit Kreditkarte oder Praktisch gilt als bequem und sicher: Zum Bezahlen wird die Kreditkarte in der Nähe des Terminals aufbewahrt. Für höhere Beträge benötigen Sie einen weiteren, um auf der sicheren Seite zu sein STIFT Niedrigere Beträge – je nach Anbieter liegt das Limit zwischen 30 und 50 Euro – können auch ohne Eingabe eines PIN-Codes bezahlt werden. Dies sollte den Prozess noch einfacher machen, während das Missbrauchsrisiko aufgrund der geringen Beträge überschaubar bleibt.

Genau diesen Mechanismus haben Forscher der ETH Zürich umgekehrt, berichtet I.T-Magzin heise.de

Die Forscher simulierten die Zahlung per Handy

Sie konnten das Terminal davon überzeugen, dass für die Zahlung unabhängig vom Betrag kein PIN-Code erforderlich ist. Sie benutzten zwei Handys und ein selbst entwickeltes App. Das erste Handy behauptet, eine Kreditkarte oder ein Handy mit Zahlungsfunktion zu sein, während ein zweites Handy diskret in der Nähe ist und mit verwendet werden kann WLAN mit dem ersten verbunden.

Während der Zahlung wird das erste Mobiltelefon vor dem Terminal gehalten. Das erste Mobiltelefon überträgt dann die Daten vom Terminal an das zweite Mobiltelefon, ohne dass dies bemerkt wird. Dies ist wiederum nahe an der realen VisaKarte und verarbeitet die Zahlung über die Karte.

Der Umweg über das erste Mobiltelefon ermöglicht es jedoch, die durchlaufenden Daten zu ändern. Solche Verschlüsselungsmechanismen sind tatsächlich so aufgebaut, dass selbst die kleinste Manipulation die übertragenen Daten unbrauchbar machen kann.

READ  MagSafe-Zubehör: Das Duo-Ladegerät und die Lederhülle kosten jeweils 145 Euro

Es mussten nur zwei Bits geändert werden

In diesem Fall stellten die Forscher jedoch einen Fehler fest: Durch Ändern von nur zwei Bits konnten sie das Kartenterminal davon überzeugen, dass die PIN-Anforderung nicht erforderlich ist. Das Terminal bietet diese Option an, da für typische Zahlungsmethoden für Mobiltelefone normalerweise ein Code oder ein Fingerabdruck auf dem Mobiltelefon erforderlich ist und daher keine zusätzliche PIN-Code-Anforderung erforderlich ist.

Infolgedessen würde dieser Fehler es Angreifern ermöglichen, teure Einkäufe mit einer gefundenen oder gestohlenen Visa-Karte zu tätigen und dann zusammen mit der Beute unentdeckt zu verschwinden. Immerhin gibt es eine ziemlich einfache Möglichkeit, den Fehler zu beheben, für den keine neuen Karten ausgestellt werden müssen, sagten die Forscher.