Abo
  • Services:
Anzeige
Samsung Pay hat einige Sicherheitsprobleme.
Samsung Pay hat einige Sicherheitsprobleme. (Bild: Donald Bowers/Getty Images)

Samsung Pay: Mit kopierten Tokens einkaufen

Samsung Pay hat einige Sicherheitsprobleme.
Samsung Pay hat einige Sicherheitsprobleme. (Bild: Donald Bowers/Getty Images)

Auf der Defcon hat ein Hacker verschiedene Angriffsszenarien gegen den Bezahldienst Samsung Pay vorgestellt, mit denen auf fremde Rechnung eingekauft werden kann. Samsung widerspricht einigen der Darstellungen, räumt aber Schwächen ein.

Der Hacker Salvador Mendoza hat auf der Defcon ein Angriffsszenario auf Samsungs Apple-Pay-Konkurrenz Samsung Pay vorgestellt. Dazu baute er sich ein kleines Gerät, mit dem er die von der Software generierten Authentifizierungstokens mitschneidet und diese dann für eigene Transaktionen missbraucht. Mendoza nutzt unter anderem das Magspoof-Design von Samy Kamkar.

Anzeige

Mendoza schreibt in einem Paper [PDF], dass es möglich sei, gültige Tokens auf Basis eines mitgeschnittenen Tokens vorauszuberechnen. Die Tokens sind jeweils für 24 Stunden, maximal aber für eine Transaktion gültig. Samsung schreibt in einem Statement, dass die Tokens auf Basis der vom Nutzer eingegebenen Zahlungsinformationen berechnet würden. Das Unternehmen bestreitet aber, dass die Tokens tatsächlich mit einfachen Mitteln berechnet werden könnten. Auch Mendoza spekuliert eher, dass dies möglich sei, als es wirklich zu beweisen.

Ein anderes von Mendoza vorgestelltes Angriffsszenario bestätigt Samsung indes, bezeichnet es aber als sehr unwahrscheinlich. Darin schneidet ein Angreifer mit einem selbstgebauten Gerät auf Basis eines Rasberry Pi Zero Tokens von Transaktionen mit und benutzt diese für eigene Transaktionen. Dazu müsste der Angreifer sich aber in unmittelbarer Nähe der Transaktion aufhalten, außerdem müsste die Transaktion mit einer Fehlermeldung abgebrochen werden. Der mitgeschnittene Token bliebe dann bis zu 24 Stunden gültig, ein Angreifer könnte die Information also zur Abwicklung einer selbstinitiierten Transaktion benutzen.

Es sei aber nicht möglich, aus dem mitgeschnittenen Token Rückschlüsse auf die hinterlegten Zahlungsinformationen wie zum Beispiel der Kreditkarte zu gewinnen, schreibt Samsung. Mendoza empfiehlt Samsung, nicht erfolgreich genutzte Tokens schneller als erst nach 24 Stunden zu entwerten, um Angriffe zu erschweren. Außerdem seien im Quellcode fest codierte Passwörter verwendet worden, um Informationen zu verschlüsseln. Dies sei keine angemessene Sicherheitsmaßnahme für einen solchen Dienst.

Tokens per Social Engineering einsammeln

Mendoza beschreibt auch einen Weg, mit dem sich Angreifer gültige Token verschaffen könnten. Sie könnten sich als Samsung-Mitarbeiter ausgeben und an einem öffentlichen Ort mit einem Stand platzieren. Dort könnten sie Passanten anbieten, ihnen die Funktionsweise von Samsung Pay an ihren eigenen Geräten zu demonstrieren und die erzeugten Tokens im Hintergrund sniffen. Solche Social-Engineering-Angriffe könnten bei einigen Nutzern durchaus Erfolg haben.

Samsung-Konkurrent Apple hat mit Apple Pay ein eigenes Zahlungssystem entwickelt. Weil Apple Pay die eingegebene Kreditkarteninformationen nur unzureichend prüft, haben Betrüger das System in der Vergangenheit immer wieder missbraucht, um damit Informationen aus Kreditkartendaten-Dumps für Zahlungen zu nutzen. Beide Zahlungsdienste sind derzeit in Deutschland nicht verfügbar und nur über Umwege nutzbar.


eye home zur Startseite
joypad 10. Aug 2016

Nicht Apple-Pay ist unsicher, sondern das Einmelden einer Kreditkarte als Zahlungsart...

Freiheit statt... 10. Aug 2016

...diese Tokens vorauszuberechnen, dann frage ich mich schon, wieso es dem Hacker dann...



Anzeige

Stellenmarkt
  1. Habermaaß GmbH, Bad Rodach
  2. Kreativagentur 1punkt7 GmbH & Co. KG, Berlin, Neubrandenburg
  3. Landeshauptstadt München, München
  4. Völkl Sports GmbH & Co. KG, Straubing, Raum Regensburg / Deggendorf


Anzeige
Top-Angebote
  1. (u. a. SanDisk Ultra 128-GB-micro-SDXC für 29€, Crucial MX300 525-GB-SSD für 122€ und...
  2. (Xbox One S - Alle 500 GB Bundles stark reduziert, z. B. Xbox One S inkl. Forza Horizon 3 oder...
  3. (u. a. Gigabyte Z370 Aorus Ultra Gaming für 159,90€, 15% auf MSI-Mainboards mit X299 und Z270...

Folgen Sie uns
       


  1. Die Woche im Video

    Zweiräder heben ab und ein Luftschiff kommt runter

  2. Autonomes Fahren

    Singapur kündigt fahrerlose Busse an

  3. Coinhive

    Kryptominingskript in Chat-Widget entdeckt

  4. Monster Hunter World angespielt

    Die Nahrungskettensimulation

  5. Rechtsunsicherheit bei Cookies

    EU warnt vor Verzögerung von ePrivacy-Verordnung

  6. Schleswig-Holstein

    Bundesland hat bereits 32 Prozent echte Glasfaserabdeckung

  7. Tesla Semi

    Teslas Truck gibt es ab 150.000 US-Dollar

  8. Mobilfunk

    Netzqualität in der Bahn weiter nicht ausreichend

  9. Bake in Space

    Bloß keine Krümel auf der ISS

  10. Sicherheitslücke

    Fortinet vergisst, Admin-Passwort zu prüfen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Gaming-Smartphone im Test: Man muss kein Gamer sein, um das Razer Phone zu mögen
Gaming-Smartphone im Test
Man muss kein Gamer sein, um das Razer Phone zu mögen
  1. Razer Phone im Hands on Razers 120-Hertz-Smartphone für Gamer kostet 750 Euro
  2. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  3. Razer-CEO Tan Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

Firefox 57: Viel mehr als nur ein Quäntchen schneller
Firefox 57
Viel mehr als nur ein Quäntchen schneller
  1. Firefox Nightly Build 58 Firefox warnt künftig vor Webseiten mit Datenlecks
  2. Mozilla Wenn Experimente besser sind als Produkte
  3. Mozilla Firefox 56 macht Hintergrund-Tabs stumm

Fire TV (2017) im Test: Das Streaminggerät, das kaum einer braucht
Fire TV (2017) im Test
Das Streaminggerät, das kaum einer braucht
  1. Neuer Fire TV Amazons Streaming-Gerät bietet HDR für 80 Euro
  2. Streaming Update für Fire TV bringt Lupenfunktion
  3. Streaming Amazon will Fire TV und Echo Dot vereinen

  1. Re: Nicht jammern, sondern machen

    __guido | 10:38

  2. Re: Großartiger Guardian-Artikel und...

    Der Spatz | 10:36

  3. Re: Dabei sollten doch gerade das Wohlbefinden...

    VigarLunaris | 10:30

  4. Re: Nach dem Testgelände im Kongo/Zaire gab es...

    Der Spatz | 10:29

  5. Re: Sie hat völlig recht!

    Avarion | 10:24


  1. 09:00

  2. 17:56

  3. 15:50

  4. 15:32

  5. 14:52

  6. 14:43

  7. 12:50

  8. 12:35


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel