Abo
  • Services:

Security-Forscher: Bezahlen mit Kreditkarte und PIN unsicher

Britische Forscher finden angeblichen Fehler im EMV-Protokoll

Das Protokoll EMV, das in Europa von Millionen EC- und Kreditkarten verwendet wird, soll einen schwerwiegenden Fehler aufweisen. Britische Forscher wollen nachgewiesen haben, dass sich mit einer fremden Karte bezahlen lässt, auch wenn die PIN unbekannt ist.

Artikel veröffentlicht am ,

Das von Europay, Mastercard und Visa entwickelte EMV ist heute in Europa das dominierende Verfahren für Chipkarten im Zahlungsverkehr. Auch die im Januar 2010 millionenfach in Deutschland ausgefallenen EC-Karten setzten auf EMV. Das Protokoll soll jedoch laut einem Bericht von ZDnet UK eine Schwachstelle haben.

Stellenmarkt
  1. Hessischer Rundfunk, Frankfurt
  2. abilex GmbH, Stuttgart

Mittels einer Man-in-the-middle-Attacke soll ein Terminal, wie es beispielsweise in Geschäften für Zahlungen verwendet wird, ausgetrickst werden können. Selbst wenn eine falsche PIN eingegeben wird, soll das Terminal durch eine Lücke in EMV die Eingabe als korrekt akzeptieren. Nötig ist dafür etwas Hardware, die jedoch handelsüblich sein soll. Laut Darstellung der Forscher von der Universität Cambridge, welche diese auch in einem PDF veröffentlicht haben, sollen sich die Geräte - dazu zählen ein Notebook und ein FPGA-Board - aber auch leicht in einem Rucksack unterbringen lassen.

Ob sich so auch mit gestohlenen Karten unauffällig bezahlen lässt, scheint damit noch nicht bewiesen. Das wäre fatal, da eine Zahlung mittels PIN meist zulasten des Kunden geht. Kreditunternehmen gehen dann häufig davon aus, dass etwa die PIN zusammen mit der Karte aufbewahrt wurde. Ein Sprecher der "UK Payments Administration" sagte gegenüber ZDnet UK auch, ein Einsatz des Verfahrens in der kriminellen Praxis sei noch nicht beobachtet worden.

Wie sich jüngst beim Ausfall von EC-Karten in Deutschland gezeigt hat, akzeptieren viele Terminals auch noch den Magnetstreifen der Karten, der sich jedoch schon seit Jahren sehr einfach nachbilden lässt. Schnell verbreitete sich der "Geheimtipp", den Chip mittels eines Klebestreifen für das Lesegerät unzugänglich zu machen. Der Umstieg auf Chipkarten und das EMV-Verfahren sollte die bargeldlose Zahlung dabei sicherer machen.

Die britischen Wissenschaftler wollen ihre Ergebnisse im Mai 2010 auf dem IEEE Symposium on Security & Privacy im kalifornischen Oakland näher erläutern und zur Diskussion stellen.



Anzeige
Top-Angebote
  1. 99,90€ statt 124,90€
  2. 149,90€ statt 179,90€
  3. 29,00€ inkl. Versand
  4. (-60%) 7,99€

Eule 16. Feb 2010

"Bankenverband: Deutsche EC-Karten nicht für Manipulationsversuche anfällig" Warum wußte...

kirsche40 15. Feb 2010

Nur von Dir. :) Falsch. Bankautomaten gehen in D grundsätzlich online. Bleiben nur noch...

peonxeon 14. Feb 2010

Naja - aber es geht ja nicht um 'noch einmal verifizieren'... die Bank hat den PIN ja gar...

peonxeon 14. Feb 2010

Ich denke was du übersiehst, ist, dass dieses Problem auch EC-Karten betrifft. Im...

0xDEADC0DE 14. Feb 2010

Keine Ahnung was Du Dir da zusammenreimst. Meine Aussage war einfach nur dass ich nicht...


Folgen Sie uns
       


Samsung Galaxy Watch - Hands on

Samsung hat seine neue Smartwatch Galaxy Watch vorgestellt. Wir haben uns die Uhr vor der Präsentation angeschaut.

Samsung Galaxy Watch - Hands on Video aufrufen
Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Fancy Bear Microsoft verhindert neue Phishing-Angriffe auf US-Politiker
  2. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  3. US Space Force Planlos im Weltraum

Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Navya Mainz testet autonomen Bus am Rheinufer
  2. Drive-by-wire Schaeffler kauft Lenktechnik für autonomes Fahren
  3. Autonomes Fahren Ubers Autos sind wieder im Einsatz - aber nicht autonom

Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nur noch Wochenende Taz stellt ihre Printausgabe wohl bis 2022 ein
  2. Cybercrime Bayern rüstet auf im Kampf gegen Anonymität im Netz
  3. Satelliteninternet Fraunhofer erreicht hohe Datenrate mit Beam Hopping

    •  /