Forschern ist es gelungen, die Sicherheitsmechanismen beim kontaktlosen Bezahlen mit einer Visa-Kreditkarte auszutricksen. So konnten sie beliebig hohe Summen ohne PIN-Eingabe abrufen.
Vorsicht vor diesen Phishing-Nachrichten im August.
Kontaktloses Bezahlen mit Kreditkarte oder Handy gilt als bequem und sicher: Um zu bezahlen, wird die Kreditkarte dicht an das Terminal gehalten. Bei höheren Summen muss zur Sicherheit noch eine PIN eingegeben werden, niedrigere Summen – je nach Anbieter liegt die Grenze etwa zwischen 30 und 50 Euro – können auch ohne PIN-Eingabe bezahlt werden. Das soll den Vorgang noch einfacher machen, während das Missbrauchsrisiko aufgrund der kleinen Summen überschaubar bleibt.
Doch genau diesen Mechanismus haben Forscher der ETH Zürich ausgehebelt, berichtet das I T-Magzin heise.de.
Forscher gaukelten eine Handy-Bezahlung vor
Ihnen gelang es, das Terminal davon zu überzeugen, dass keine PIN zur Zahlung notwendig ist, egal wie hoch die Summe war. Dazu nutzten sie zwei Handys und eine selbstentwickelte App . Das erste Handy gibt sich dabei als Kreditkarte oder als Handy mit Bezahlfunktion aus, unauffällig in der Nähe befindet sich noch ein zweites Handy, das per WLAN mit dem ersten verbunden ist.
Beim Bezahlen wird das erste Handy ans Terminal gehalten. Das erste Handy leitet die Daten des Terminals dann unbemerkt an das zweite Handy weiter. Das wiederum befindet sich in unmittelbarer Nähe zur eigentlichen Visa -Karte und wickelt die Zahlung über die Karte ab.
Der Umweg über das erste Handy erlaubt allerdings, die dort durchgeschleusten Daten zu verändern. Eigentlich sind derlei Verschlüsselungsmechanismen so gebaut, dass schon kleinste Manipulationen die übermittelten Daten unbrauchbar machen.
Nur zwei Bits mussten verändert werden
In diesem Fall fanden die Forscher aber eine Lücke: Durch die Veränderung von nur zwei Bit konnten sie dem Kartenterminal vorgaukeln, dass die PIN-Abfrage nicht nötig ist. Diese Möglichkeit bietet das Terminal an, weil typische Handybezahlverfahren meist einen Code oder Fingerabdruck am Handy abfragen und so keine zusätzliche PIN-Abfrage benötigen.
Im Ergebnis würde diese Lücke es Angreifern erlauben, mit einer gefundenen oder gestohlenen Visa-Karte beliebig teure Einkäufe zu tätigen – und mit der Beute anschließend unerkannt zu verschwinden. Immerhin gebe es eine recht einfache Möglichkeit, um den Fehler zu beheben, für den keine neuen Karten ausgegeben werden müssten, erklärten die Forscher