Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Sicherheitslücke in Visas NFC-Zahlungsabwicklung

Kontaktloses Bezahlen gehackt

Sicherheitslücke in Visas NFC-Zahlungsabwicklung

31. August 2020, 11:11 Uhr | Lars Bube
Fortsetzung des Artikels von Teil 1

Kontaktloser Diebstahl

Apps der ETH Zürich zum Hack von Visas NFZ-Bezahlfunktion
Die Forscher der ETH Zürich nutzen zwei Apps für das Aushebeln der Zweifaktor-Authentifizierung von Visa: Die erste App emuliert die Kreditkarte, die zweite gaukelt dem Terminal eine erfolgte Identifizierung vor.
© ETH Zürich, Basin et al.

Da es allerdings im Alltag zu auffällig wäre, wenn ein Kunde neben der Karte auch noch das Smartphone an das Terminal halten würde, sind in der Praxis zwei miteinander verbundene Smartphones nötig, um die Lücke auszunutzen. Beim Bezahlvorgang wird dem Kassierer Mobile Payment vorgespielt und das erste Smartphone an das Terminal gehalten. Währenddessen befindet sich das zweite zusammen mit der Visa-Karte für das Verkaufspersonal unsichtbar im Rucksack oder der Hosentasche. Gerät Nummer eins identifiziert sich am Terminal als Karte und leitet die ausgetauschten Transaktionsdaten direkt an Nummer zwei weiter. Dieses wiederum manipuliert den Datenstrom so, dass eine erfolgreiche Sicherheitsüberprüfung vorgegaukelt wird und sendet diese Daten dann über Gerät Nummer eins zurück ans Terminal, das somit auf die Abfrage der PIN verzichtet.

Wie die Wissenschaftler in der Praxis nachweisen konnten, lassen sich auf diesem Wege auch teurere Einkäufe als eigentlich erlaubt ohne weitere Überprüfung tätigen. Somit könnten Diebe den Trick etwa nutzen, um geklaute Kreditkarten bis zu deren Limit leerzuräumen. Aber auch andere Szenarien sind damit theoretisch möglich. So könnte etwa ein Angreifer mit Smartphone Nummer eins an der Kasse bezahlen, während ein Komplize Gerät Nummer zwei an die Hosentasche eines ahnungslosen Opfers hält, dessen Kreditkarte dann mit dem Einkauf belastet wird. Damit die Lücke nicht ausgenutzt werden kann, haben die Forscher nach eigenen Angaben auch direkt einen Fix für das Problem erarbeitet, mit dem ein Austausch der Karten vermieden werden kann.

Allerdings rückt der Fall auch die grundsätzliche Haftungsfrage in den Fokus. Immerhin übergeben die Banken aufgrund der vermeintlichen Absicherung über den zweiten Faktor die Haftung für über die Kleinbeträge hinausgehende Missbräuche an die Kunden. Wenn aber, wie in diesem Fall, die zusätzliche Sicherheitsprüfung aufgrund systematischer Schwächen komplett ausgehebelt werden kann, ist damit gleichzeitig auch diese Argumentation der Banken nichtig.

Anbieter zum Thema

WatchGuard Technologies
HP Deutschland GmbH
Matchmaker+
zu Matchmaker+
  1. Sicherheitslücke in Visas NFC-Zahlungsabwicklung
  2. Kontaktloser Diebstahl

Lesen Sie mehr zum Thema

VISAM GmbH Betriebs-Sicherheit
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu VISAM GmbH

Ebay, Mastercard, Visa und Stripe steigen aus

Facebook sieht Partner-Exodus bei Libra gelassen

Mobile Zahlsoftware

Wirecard schraubt Umsatzziele weiter nach oben

Facebook-Währung unter Druck

Unterstützung für »Libra« wankt

Digitale Währung

Pläne zu Facebook-Währung Libra stoßen auf Widerstand

IBM und Visa revolutionieren den Zahlungsverkehr

Bezahlen mit dem vernetzten Turnschuh

Weitere Artikel zu Betriebs-Sicherheit

Von Zero Trust bis Netzwerksegmentierung

Vier Sicherheitsstrategien für OT-Umgebungen

Schwachstellen wie Sand am Meer

Das sind die gefährlichsten ITK-Geräteklassen

Evolution der Cyberkriminalität

KI und ML als Katalysatoren für digitalen Betrug

E-Commerce kämft zunehmend mit Betrug

Lösungen gegen digitalen Ladendiebstahl gesucht

Aktualisierte Hologramme für Patronen

Brother verstärkt Schutz gegen Produktfälschungen

Matchmaker+
elektrofachkraft.de

elektrofachkraft.de
WatchGuard Technologies

WatchGuard Technologies
Redgate Software

Redgate Software
Vertiv GmbH

Vertiv GmbH
G DATA CyberDefense AG

G DATA CyberDefense AG
GERMAN DATACENTER ASSOCIATION e.V.

GERMAN DATACENTER ASSOCIATION e.V.