Abo
  • IT-Karriere:

Mit fremden Daten zahlen

Ein möglicher Angriffsvektor bei Magstripe - also der Verwendung des magnetischen Streifens - ist das Auslesen der ersten und zweiten Spur. Damit lassen sich später unerlaubt weitere Transaktionen durchführen. Ferner können dann mit Capture-Replays die Zugangsdaten auf einem legitimen Kartenleser ausgelesen werden. Magstripe wird aber ausgemustert, zumindest Kreditkartenanbieter Visa wird es nach und nach abschaffen.

Stellenmarkt
  1. RSG Group GmbH, Berlin
  2. Wirecard Technologies GmbH, Aschheim bei München

Sicherer ist der M/Chip auf den Bezahlkarten, der beispielsweise nur mit einem gültigen SDA-Zertifikat (Static Data Authentication) funktioniert. Die dort verwendete Verschlüsselung macht auch Angriffe über Capture und Replay weitgehend unmöglich.

Proof of Concepts

Allerdings können Karten durch ein Bit auf dem manipulierten Lesegerät in den Magstripe- oder M/Chip-Modus versetzt werden.

Die Hackerin Kristin (Chris) Paget hat bereits einen solchen möglichen Angriff beschrieben: Sie hat die Daten einer Kreditkarte ausgelesen und sie auf eine andere Karte übertragen. Dann verwendete sie einen Kartenleser an ihrem Smartphone. Google Wallet übernahm die Daten anstandslos.

In Smartphones eingesetzte NFC-Chips samt den Bezahlapplikationen sind ebenfalls weitgehend sicher. Google Wallet verlangt beispielsweise beim Bezahlen eine PIN. Die gespeicherten Daten liegen in einem verschlüsselten Bereich, können also nicht ohne weiteres ausgelesen werden. Allerdings ist das bei gerooteten Geräten durchaus möglich, wie die Blogger bei Zvelo herausgefunden haben. Google behauptet jedoch, das Auslesen der PIN sei auf Standardgeräten nicht möglich.

Daten-Sniffen

Mohr selbst hat die Angriffsvektoren ausprobiert. Er hat seinen eigenen Paypass-Reader geschrieben, der unter anderem PCSC-lite verwendet, um Daten auszulesen. Dieser liest die ersten beiden Spuren von Magstripe-Karten aus und speichert sie zur späteren Weiterverarbeitung, etwa um sie auf eigene Karten zu übertragen. Damit lassen sich theoretisch Transaktionen wiederholen, sagte Mohr.

Später will er die Unterstützung für M/Chips verbessern und einen Emulator schreiben, der Karten nachbildet. Außerdem will er an einem Sniffer arbeiten, der Transaktionen während der Übertragung abfangen kann (Over-the-Air-Sniffer).

Taschen aus Metall

Karten mit passiven RFID-Chips können leicht ausgelesen werden, sie müssen noch nicht einmal aus der Tasche genommen werden, schließt Mohr aus seinen bisherigen Erkenntnissen. Ein Angreifer muss lediglich den Leser nah genug an sein Opfer heranbringen. Hier helfen nur spezielle RFID-Blocker oder Taschen mit einem Metallmantel zur Abschirmung.

Außerdem sollte auf Smartphones der Anmeldebildschirm aktiviert werden, wenn das Mobiltelefon nicht in Gebrauch ist, denn dann wird der NFC-Chip ausgeschaltet. In der Bezahlapplikation sollte das Timeout nach einer Transaktion so niedrig wie möglich gesetzt werden. Und schließlich rät Mohr davon ab, ein Gerät zu rooten.

 Bezahlsysteme: Paypass über NFC mit Lücken
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 2,99€
  2. 0,49€
  3. 4,99€
  4. 2,49€

FoVITIS 16. Nov 2013

1. Beitrag existiert nicht (mehr) 2. Gut das einige Anbieter die normalen...

Sharra 20. Mai 2012

Aus gutem Grund ist in den Allgemeinen Geschäftsbedingungen der Banken ausdrücklich...


Folgen Sie uns
       


Geräuschunterdrückung von drei ANC-Kopfhörern im Vergleich

Wir haben den neuen ANC-Kopfhörer von Audio Technica gegen die Konkurrenz von Bose und Sony antreten lassen. Im Video sind die Unterschiede bei der ANC-Leistung zwischen dem ATH-ANC900BT, dem Quiet Comfort 35 II und dem WH-1000XM3 deutlich hörbar.

Geräuschunterdrückung von drei ANC-Kopfhörern im Vergleich Video aufrufen
IT-Headhunter: ReactJS- und PHP-Experten verzweifelt gesucht
IT-Headhunter
ReactJS- und PHP-Experten verzweifelt gesucht

Marco Nadol vermittelt für Hays selbstständige Informatiker, Programmierer und Ingenieure in Unternehmen. Aus langjähriger Erfahrung als IT-Headhunter weiß er mittlerweile sehr gut, was ihre Chancen auf dem Markt erhöht und was sie verschlechtert.
Von Maja Hoock

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?
  3. Milla Bund sagt Pläne für KI-gesteuerte Weiterbildungsplattform ab

Katamaran Energy Observer: Kaffee zu kochen heißt, zwei Minuten später anzukommen
Katamaran Energy Observer
Kaffee zu kochen heißt, zwei Minuten später anzukommen

Schiffe müssen keine Dreckschleudern sein: Victorien Erussard und Jérôme Delafosse haben ein Boot konstruiert, das ohne fossilen Treibstoff auskommt. Es kann sogar auf hoher See selbst Treibstoff aus Meerwasser gewinnen. Auf ihrer Tour um die Welt wirbt die Energy Observer für erneuerbare Energien.
Ein Bericht von Werner Pluta

  1. Umweltschutz Kanäle in NRW bekommen Ladesäulen für Binnenschiffe
  2. Transport DLR plant Testfeld für autonome Schiffe in Brandenburg
  3. C-Enduro Britische Marine testet autonomes Wasserfahrzeug

Das andere How-to: Deutsch lernen für Programmierer
Das andere How-to
Deutsch lernen für Programmierer

Programmierer schlagen sich ständig mit der Syntax und Semantik von Programmiersprachen herum. Der US-Amerikaner Mike Stipicevic hat aus der Not eine Tugend gemacht und nutzt sein Wissen über obskure Grammatiken, um Deutsch zu lernen.
Von Mike Stipicevic

  1. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein
  2. Software-Entwickler Welche Programmiersprache soll ich lernen?

    •  /