Willkommen |
|
|
|
myGully |
|
|
Links |
|
|
|
Forum |
|
|
|
|
 |
31.08.20, 11:02
|
#1
|
|
AZOR AHAI
Registriert seit: Aug 2013
Beiträge: 5.458
Bedankt: 22.987
|
Sicherheitslücke Kontaktloses Bezahlverfahren von Visa geknackt
Zitat:
Sicherheitslücke
Kontaktloses Bezahlverfahren von Visa geknackt
31.08.2020, 10:25 Uhr | jnm, t-online.de
Ein Kunde hält eine Kreditkarte an ein Bezahlterminal: Forscher haben Visas PIN-Verfahren geknackt
(Quelle: Westend61/imago images)
Forschern ist es gelungen, die Sicherheitsmechanismen beim kontaktlosen Bezahlen mit einer Visa-Kreditkarte auszutricksen. So konnten sie beliebig hohe Summen ohne PIN-Eingabe abrufen.
Kontaktloses Bezahlen mit Kreditkarte oder Handy gilt als bequem und sicher: Um zu bezahlen, wird die Kreditkarte dicht an das Terminal gehalten. Bei höheren Summen muss zur Sicherheit noch eine PIN eingegeben werden, niedrigere Summen – je nach Anbieter liegt die Grenze etwa zwischen 30 und 50 Euro – können auch ohne PIN-Eingabe bezahlt werden. Das soll den Vorgang noch einfacher machen, während das Missbrauchsrisiko aufgrund der kleinen Summen überschaubar bleibt.
Doch genau diesen Mechanismus haben Forscher der ETH Zürich ausgehebelt, berichtet das IT-Magzin heise.de
Forscher gaukelten eine Handy-Bezahlung vor
Ihnen gelang es, das Terminal davon zu überzeugen, dass keine PIN zur Zahlung notwendig ist, egal wie hoch die Summe war. Dazu nutzten sie zwei Handys und eine selbstentwickelte App. Das erste Handy gibt sich dabei als Kreditkarte oder als Handy mit Bezahlfunktion aus, unauffällig in der Nähe befindet sich noch ein zweites Handy, das per WLAN mit dem ersten verbunden ist.
Beim Bezahlen wird das erste Handy ans Terminal gehalten. Das erste Handy leitet die Daten des Terminals dann unbemerkt an das zweite Handy weiter. Das wiederum befindet sich in unmittelbarer Nähe zur eigentlichen Visa-Karte und wickelt die Zahlung über die Karte ab.
Der Umweg über das erste Handy erlaubt allerdings, die dort durchgeschleusten Daten zu verändern. Eigentlich sind derlei Verschlüsselungsmechanismen so gebaut, dass schon kleinste Manipulationen die übermittelten Daten unbrauchbar machen.
Nur zwei Bits mussten verändert werden
In diesem Fall fanden die Forscher aber eine Lücke: Durch die Veränderung von nur zwei Bit konnten sie dem Kartenterminal vorgaukeln, dass die PIN-Abfrage nicht nötig ist. Diese Möglichkeit bietet das Terminal an, weil typische Handybezahlverfahren meist einen Code oder Fingerabdruck am Handy abfragen und so keine zusätzliche PIN-Abfrage benötigen.
Im Ergebnis würde diese Lücke es Angreifern erlauben, mit einer gefundenen oder gestohlenen Visa-Karte beliebig teure Einkäufe zu tätigen – und mit der Beute anschließend unerkannt zu verschwinden. Immerhin gebe es eine recht einfache Möglichkeit um den Fehler zu beheben, für den keine neuen Karten ausgegeben werden müssten, erklärten die Forscher.
|
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
|
|
|
|
Die folgenden 2 Mitglieder haben sich bei MotherFocker bedankt:
|
|
Forumregeln
|
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
HTML-Code ist Aus.
|
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 05:26 Uhr.
().
|
Linear-Darstellung
