NEW - Der Feed des Merlin Images jetzt bei BoxPirates - NEW

NEW - BoxPirates Plugin Feed - NEW
Unsere Plugins direkt über den Plugin Browser eure Box installierbar

Sicherheitslücke Kontaktloses Bezahlverfahren von Visa geknackt

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Sicherheitslücke Kontaktloses Bezahlverfahren von Visa geknackt


      Ein Kunde hält eine Kreditkarte an ein Bezahlterminal: Forscher haben Visas PIN-Verfahren geknackt. (Quelle: Westend61/imago images)

      Forschern ist es gelungen, die Sicherheitsmechanismen beim kontaktlosen Bezahlen mit einer Visa-Kreditkarte auszutricksen. So konnten sie beliebig hohe Summen ohne PIN-Eingabe abrufen.

      Kontaktloses Bezahlen mit Kreditkarte oder Handy gilt als bequem und sicher: Um zu bezahlen, wird die Kreditkarte dicht an das Terminal gehalten. Bei höheren Summen muss zur Sicherheit noch eine PIN eingegeben werden, niedrigere Summen – je nach Anbieter liegt die Grenze etwa zwischen 30 und 50 Euro – können auch ohne PIN-Eingabe bezahlt werden. Das soll den Vorgang noch einfacher machen, während das Missbrauchsrisiko aufgrund der kleinen Summen überschaubar bleibt.
      Doch genau diesen Mechanismus haben Forscher der ETH Zürich ausgehebelt, berichtet das IT-Magzin heise.de.
      Forscher gaukelten eine Handy-Bezahlung vor
      Ihnen gelang es, das Terminal davon zu überzeugen, dass keine PIN zur Zahlung notwendig ist, egal wie hoch die Summe war. Dazu nutzten sie zwei Handys und eine selbstentwickelte App. Das erste Handy gibt sich dabei als Kreditkarte oder als Handy mit Bezahlfunktion aus, unauffällig in der Nähe befindet sich noch ein zweites Handy, das per WLAN mit dem ersten verbunden ist.
      Beim Bezahlen wird das erste Handy ans Terminal gehalten. Das erste Handy leitet die Daten des Terminals dann unbemerkt an das zweite Handy weiter. Das wiederum befindet sich in unmittelbarer Nähe zur eigentlichen Visa-Karte und wickelt die Zahlung über die Karte ab.
      Der Umweg über das erste Handy erlaubt allerdings, die dort durchgeschleusten Daten zu verändern. Eigentlich sind derlei Verschlüsselungsmechanismen so gebaut, dass schon kleinste Manipulationen die übermittelten Daten unbrauchbar machen.
      Nur zwei Bits mussten verändert werden
      In diesem Fall fanden die Forscher aber eine Lücke: Durch die Veränderung von nur zwei Bit konnten sie dem Kartenterminal vorgaukeln, dass die PIN-Abfrage nicht nötig ist. Diese Möglichkeit bietet das Terminal an, weil typische Handybezahlverfahren meist einen Code oder Fingerabdruck am Handy abfragen und so keine zusätzliche PIN-Abfrage benötigen
      Im Ergebnis würde diese Lücke es Angreifern erlauben, mit einer gefundenen oder gestohlenen Visa-Karte beliebig teure Einkäufe zu tätigen – und mit der Beute anschließend unerkannt zu verschwinden. Immerhin gebe es eine recht einfache Möglichkeit, um den Fehler zu beheben, für den keine neuen Karten ausgegeben werden müssten, erklärten die Forscher
      Quelle: t-online


      Mia san Mia und Mia san Tripel