Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit >

VISA-Sicherheitslücke: Forscher warnen vor kontaktlosem Bezahlen

Sicherheitslücke  

Kontaktloses Bezahlverfahren von Visa geknackt

31.08.2020, 16:29 Uhr | jnm, t-online

VISA-Sicherheitslücke: Forscher warnen vor kontaktlosem Bezahlen. Ein Kunde hält eine Kreditkarte an ein Bezahlterminal: Forscher haben Visas PIN-Verfahren geknackt. (Quelle: imago images/Westend61)

Ein Kunde hält eine Kreditkarte an ein Bezahlterminal: Forscher haben Visas PIN-Verfahren geknackt. (Quelle: Westend61/imago images)

Forschern ist es gelungen, die Sicherheitsmechanismen beim kontaktlosen Bezahlen mit einer Visa-Kreditkarte auszutricksen. So konnten sie beliebig hohe Summen ohne PIN-Eingabe abrufen.

Kontaktloses Bezahlen mit Kreditkarte oder Handy gilt als bequem und sicher: Um zu bezahlen, wird die Kreditkarte dicht an das Terminal gehalten. Bei höheren Summen muss zur Sicherheit noch eine PIN eingegeben werden, niedrigere Summen – je nach Anbieter liegt die Grenze etwa zwischen 30 und 50 Euro – können auch ohne PIN-Eingabe bezahlt werden. Das soll den Vorgang noch einfacher machen, während das Missbrauchsrisiko aufgrund der kleinen Summen überschaubar bleibt.

Doch genau diesen Mechanismus haben Forscher der ETH Zürich ausgehebelt, berichtet das IT-Magzin heise.de.

Forscher gaukelten eine Handy-Bezahlung vor

Ihnen gelang es, das Terminal davon zu überzeugen, dass keine PIN zur Zahlung notwendig ist, egal wie hoch die Summe war. Dazu nutzten sie zwei Handys und eine selbstentwickelte App. Das erste Handy gibt sich dabei als Kreditkarte oder als Handy mit Bezahlfunktion aus, unauffällig in der Nähe befindet sich noch ein zweites Handy, das per WLAN mit dem ersten verbunden ist. 

Beim Bezahlen wird das erste Handy ans Terminal gehalten. Das erste Handy leitet die Daten des Terminals dann unbemerkt an das zweite Handy weiter. Das wiederum befindet sich in unmittelbarer Nähe zur eigentlichen Visa-Karte und wickelt die Zahlung über die Karte ab. 

Der Umweg über das erste Handy erlaubt allerdings, die dort durchgeschleusten Daten zu verändern. Eigentlich sind derlei Verschlüsselungsmechanismen so gebaut, dass schon kleinste Manipulationen die übermittelten Daten unbrauchbar machen.

Nur zwei Bits mussten verändert werden

In diesem Fall fanden die Forscher aber eine Lücke: Durch die Veränderung von nur zwei Bit konnten sie dem Kartenterminal vorgaukeln, dass die PIN-Abfrage nicht nötig ist. Diese Möglichkeit bietet das Terminal an, weil typische Handybezahlverfahren meist einen Code oder Fingerabdruck am Handy abfragen und so keine zusätzliche PIN-Abfrage benötigen.

Im Ergebnis würde diese Lücke es Angreifern erlauben, mit einer gefundenen oder gestohlenen Visa-Karte beliebig teure Einkäufe zu tätigen – und mit der Beute anschließend unerkannt zu verschwinden. Immerhin gebe es eine recht einfache Möglichkeit, um den Fehler zu beheben, für den keine neuen Karten ausgegeben werden müssten, erklärten die Forscher

Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre E-Mail-Adresse an. Vielen Dank für Ihre Mitteilung.

Name
E-Mail
Betreff
Nachricht
Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail

Ulla Popkentchibo.deOTTOmyToysbonprix.deLIDLBabistadouglas.deXXXLutz
Mehr zum Thema
Sie sind hier: Home > Digital > Internet & Sicherheit > Sicherheit

shopping-portal