Eine Sicherheitslücke ermöglicht die Umgehung der PIN‑Abfrage bei einer kontaktlosen Visa‑Zahlung. Forscher der ETH Zürich haben eine Schwachstelle entdeckt, mit der Kriminelle Zahlungen mit Kreditkarten vornehmen könnten, ohne deren PINs zu kennen.
Ein Forscherteam der Eidgenössischen Technischen Hochschule in Zürich (ETH Zürich) hat im EMV-Protokoll für kontaktloses Bezahlen des Kreditkartenanbieters Visa eine Sicherheitslücke gefunden, die es Angreifern ermöglichen könnte, die PIN-Abfrage zu umgehen und Kreditkartenbetrug zu begehen.
Beim kontaktlosen Bezahlen gibt es normalerweise ein Limit bei der Bezahlung von Waren oder Dienstleistungen. Sobald es überschritten ist, fordert das Kartenterminal vom Karteninhaber eine Bestätigung per PIN. Die neue Studie mit dem Titel „The EMV Standard: Break, Fix, Verify“ zeigt jedoch, dass Kriminelle eine Kreditkarte, aufgrund eines Fehlers für betrügerische Einkäufe ausnutzen können, ohne dabei die PIN eingeben zu müssen und selbst wenn die Summe das Limit überschreitet.
Visa‑Zahlung: Demonstration der Attacke
Die Wissenschaftler demonstrierten die Machbarkeit des Angriffs mit zwei Android-Handys, einer kontaktlosen Kreditkarte und einer speziell für diesen Zweck entwickelten Android-App: „Das Telefon in der Nähe des Zahlungsterminals ist der Karten-Emulator des Angreifers, und das Telefon in der Nähe der Kreditkarte des Opfers ist der POS-Emulator des Angreifers. Die Geräte des Angreifers kommunizieren über WLAN miteinander und über NFC mit dem Terminal und der Karte “, erklärten die Forscher. Dabei sind für die App keine speziellen Root-Berechtigungen oder Android-Hacks erforderlich.
„Der Angriff besteht in einer Änderung eines Datenobjekts einer Karte – des „Card Transaction Qualifiers“ -, bevor dieser an das Terminal übermittelt wird“, heißt es im Forschungsbericht. Durch diese Änderung wird das Terminal angewiesen, dass keine PIN-Überprüfung erforderlich ist und dass der Karteninhaber bereits vom Gerät des Verbrauchers überprüft wurde.
PIN-Bypass-Attacke
Die Forscher testeten ihre PIN-Bypass-Attacke auf einem der sechs kontaktlosen EMV-Protokolle (Mastercard, Visa, American Express, JCB, Discover, UnionPay). Sie vermuten jedoch, dass ihr Angriff auch bei den Discover- und UnionPay-Protokolle funktionieren könnte, obwohl diese in der Praxis nicht überprüft wurden. EMV, das internationale Standardprotokoll für Smartcard-Zahlungen, wird weltweit bei über 9 Milliarden Karten verwendet und laut Stand vom Dezember 2019 bei mehr als 80% aller weltweiten Transaktionen mit Karten verwendet.
Erwähnenswert ist ebenfalls, dass die Forscher den Angriff nicht nur unter Laborbedingungen getestet haben, sondern auch in Geschäften mit Visa Credit-, Visa Electron- und V-Pay-Karten erfolgreich durchführen konnten. Natürlich haben sie dabei für die Tests ihre eigenen Karten verwendet.
Attacke wird kaum bemerkt
Laut den Forschern ist es für Kassenpersonal schwierig diese Angriffe bei einer Visa‑Zahlung zu bemerken, da es Alltag ist, dass Kunden Waren mit ihren Smartphones bezahlen. Die Untersuchungen förderten auch eine weitere Sicherheitslücke zu Tage. Bei kontaktlosen Offline-Transaktionen mit alten Visa oder Mastercard-Karten konnten sie von den Karten erzeugte Daten, das sogenannte „Transaction Cryptogram“, ändern, bevor sie an das Terminal übermittelt wurden.
Diese Daten können jedoch nicht vom Terminal überprüft werden, sondern nur vom Kartenaussteller, also der Bank. Bis dahin ist der Kriminelle mit seiner Ware schon lange verschwunden. Aus ethischen Gründen wurde dieser Angriff vom Forscherteam nicht an realen Kartenterminals getestet.
Das Team hat das Unternehmen Visa natürlich über seine Entdeckungen informiert.
Mehr dazu im WeLiveSecurity-Blog bei ESET.com
Über ESET ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.