Abo
  • Services:
Anzeige
Samsung Pay hat einige Sicherheitsprobleme.
Samsung Pay hat einige Sicherheitsprobleme. (Bild: Donald Bowers/Getty Images)

Samsung Pay: Mit kopierten Tokens einkaufen

Samsung Pay hat einige Sicherheitsprobleme.
Samsung Pay hat einige Sicherheitsprobleme. (Bild: Donald Bowers/Getty Images)

Auf der Defcon hat ein Hacker verschiedene Angriffsszenarien gegen den Bezahldienst Samsung Pay vorgestellt, mit denen auf fremde Rechnung eingekauft werden kann. Samsung widerspricht einigen der Darstellungen, räumt aber Schwächen ein.

Der Hacker Salvador Mendoza hat auf der Defcon ein Angriffsszenario auf Samsungs Apple-Pay-Konkurrenz Samsung Pay vorgestellt. Dazu baute er sich ein kleines Gerät, mit dem er die von der Software generierten Authentifizierungstokens mitschneidet und diese dann für eigene Transaktionen missbraucht. Mendoza nutzt unter anderem das Magspoof-Design von Samy Kamkar.

Anzeige

Mendoza schreibt in einem Paper [PDF], dass es möglich sei, gültige Tokens auf Basis eines mitgeschnittenen Tokens vorauszuberechnen. Die Tokens sind jeweils für 24 Stunden, maximal aber für eine Transaktion gültig. Samsung schreibt in einem Statement, dass die Tokens auf Basis der vom Nutzer eingegebenen Zahlungsinformationen berechnet würden. Das Unternehmen bestreitet aber, dass die Tokens tatsächlich mit einfachen Mitteln berechnet werden könnten. Auch Mendoza spekuliert eher, dass dies möglich sei, als es wirklich zu beweisen.

Ein anderes von Mendoza vorgestelltes Angriffsszenario bestätigt Samsung indes, bezeichnet es aber als sehr unwahrscheinlich. Darin schneidet ein Angreifer mit einem selbstgebauten Gerät auf Basis eines Rasberry Pi Zero Tokens von Transaktionen mit und benutzt diese für eigene Transaktionen. Dazu müsste der Angreifer sich aber in unmittelbarer Nähe der Transaktion aufhalten, außerdem müsste die Transaktion mit einer Fehlermeldung abgebrochen werden. Der mitgeschnittene Token bliebe dann bis zu 24 Stunden gültig, ein Angreifer könnte die Information also zur Abwicklung einer selbstinitiierten Transaktion benutzen.

Es sei aber nicht möglich, aus dem mitgeschnittenen Token Rückschlüsse auf die hinterlegten Zahlungsinformationen wie zum Beispiel der Kreditkarte zu gewinnen, schreibt Samsung. Mendoza empfiehlt Samsung, nicht erfolgreich genutzte Tokens schneller als erst nach 24 Stunden zu entwerten, um Angriffe zu erschweren. Außerdem seien im Quellcode fest codierte Passwörter verwendet worden, um Informationen zu verschlüsseln. Dies sei keine angemessene Sicherheitsmaßnahme für einen solchen Dienst.

Tokens per Social Engineering einsammeln

Mendoza beschreibt auch einen Weg, mit dem sich Angreifer gültige Token verschaffen könnten. Sie könnten sich als Samsung-Mitarbeiter ausgeben und an einem öffentlichen Ort mit einem Stand platzieren. Dort könnten sie Passanten anbieten, ihnen die Funktionsweise von Samsung Pay an ihren eigenen Geräten zu demonstrieren und die erzeugten Tokens im Hintergrund sniffen. Solche Social-Engineering-Angriffe könnten bei einigen Nutzern durchaus Erfolg haben.

Samsung-Konkurrent Apple hat mit Apple Pay ein eigenes Zahlungssystem entwickelt. Weil Apple Pay die eingegebene Kreditkarteninformationen nur unzureichend prüft, haben Betrüger das System in der Vergangenheit immer wieder missbraucht, um damit Informationen aus Kreditkartendaten-Dumps für Zahlungen zu nutzen. Beide Zahlungsdienste sind derzeit in Deutschland nicht verfügbar und nur über Umwege nutzbar.


eye home zur Startseite
joypad 10. Aug 2016

Nicht Apple-Pay ist unsicher, sondern das Einmelden einer Kreditkarte als Zahlungsart...

Freiheit statt... 10. Aug 2016

...diese Tokens vorauszuberechnen, dann frage ich mich schon, wieso es dem Hacker dann...



Anzeige

Stellenmarkt
  1. IHK für München und Oberbayern, München
  2. Nash Direct GmbH / Harvey Nash Group, Essen, Köln, Frankfurt oder Hannover
  3. Wüstenrot & Württembergische AG, Stuttgart
  4. DIEBOLD NIXDORF, Dortmund


Anzeige
Top-Angebote
  1. 36,00€ (Vergleichspreis 44€)
  2. 20,39€ (Bestpreis!)
  3. 8,60€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand) - Vergleichspreis 16€

Folgen Sie uns
       


  1. Zero-Rating

    StreamOn der Telekom bei 200.000 Kunden

  2. Beta Archive

    Microsoft bestätigt Leck des Windows-10-Quellcodes

  3. Deutschland-Chef der Telekom

    Bis 2018 flächendeckend Vectoring in Nordrhein-Westfalen

  4. Sipgate Satellite

    Deutsche Telekom blockiert mobile Nummer mit beliebiger SIM

  5. Rockstar Games

    "Normalerweise" keine Klagen gegen GTA-Modder

  6. Stromnetz

    Tennet warnt vor Trassen-Maut für bayerische Bauern

  7. Call of Duty

    Modern Warfare Remastered erscheint alleine lauffähig

  8. Gmail

    Google scannt Mails künftig nicht mehr für Werbung

  9. Die Woche im Video

    Ein Chef geht, die Quanten kommen und Nummer Fünf lebt

  10. Hasskommentare

    Koalition einigt sich auf Änderungen am Facebook-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mesh- und Bridge-Systeme in der Praxis: Mehr Access Points, mehr Spaß
Mesh- und Bridge-Systeme in der Praxis
Mehr Access Points, mehr Spaß
  1. Eero 2.0 Neues Mesh-WLAN-System kann sich auch per Kabel vernetzen
  2. BVG Fast alle Berliner U-Bahnhöfe haben offenes WLAN
  3. Broadcom-Sicherheitslücke Vom WLAN-Chip das Smartphone übernehmen

Mario Odyssey angespielt: Die feindliche Übernahme mit dem Schnauz
Mario Odyssey angespielt
Die feindliche Übernahme mit dem Schnauz
  1. Nintendo Firmware 3.00 bringt neue Funktionen auf die Switch
  2. Nintendo Switch Metroid Prime 4, echtes Pokémon und Rocket League kommen
  3. Arms im Test Gerade statt Aufwärtshaken

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

  1. Re: Darauf ein Glas Wine

    Ach | 01:34

  2. Re: mit verkauf des kabelnetzes, am eigenen ast...

    DerDy | 01:29

  3. Re: Einseitig..

    DerDy | 01:22

  4. Re: Was ist an einer Veröffentlichung so schlimm?

    Ach | 01:20

  5. Re: Sofort verbieten

    ThomasSV | 01:13


  1. 14:37

  2. 14:28

  3. 12:01

  4. 10:37

  5. 13:30

  6. 12:14

  7. 11:43

  8. 10:51


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel