Abo
  • Services:
Anzeige
Samsung Pay hat einige Sicherheitsprobleme.
Samsung Pay hat einige Sicherheitsprobleme. (Bild: Donald Bowers/Getty Images)

Samsung Pay: Mit kopierten Tokens einkaufen

Samsung Pay hat einige Sicherheitsprobleme.
Samsung Pay hat einige Sicherheitsprobleme. (Bild: Donald Bowers/Getty Images)

Auf der Defcon hat ein Hacker verschiedene Angriffsszenarien gegen den Bezahldienst Samsung Pay vorgestellt, mit denen auf fremde Rechnung eingekauft werden kann. Samsung widerspricht einigen der Darstellungen, räumt aber Schwächen ein.

Der Hacker Salvador Mendoza hat auf der Defcon ein Angriffsszenario auf Samsungs Apple-Pay-Konkurrenz Samsung Pay vorgestellt. Dazu baute er sich ein kleines Gerät, mit dem er die von der Software generierten Authentifizierungstokens mitschneidet und diese dann für eigene Transaktionen missbraucht. Mendoza nutzt unter anderem das Magspoof-Design von Samy Kamkar.

Anzeige

Mendoza schreibt in einem Paper [PDF], dass es möglich sei, gültige Tokens auf Basis eines mitgeschnittenen Tokens vorauszuberechnen. Die Tokens sind jeweils für 24 Stunden, maximal aber für eine Transaktion gültig. Samsung schreibt in einem Statement, dass die Tokens auf Basis der vom Nutzer eingegebenen Zahlungsinformationen berechnet würden. Das Unternehmen bestreitet aber, dass die Tokens tatsächlich mit einfachen Mitteln berechnet werden könnten. Auch Mendoza spekuliert eher, dass dies möglich sei, als es wirklich zu beweisen.

Ein anderes von Mendoza vorgestelltes Angriffsszenario bestätigt Samsung indes, bezeichnet es aber als sehr unwahrscheinlich. Darin schneidet ein Angreifer mit einem selbstgebauten Gerät auf Basis eines Rasberry Pi Zero Tokens von Transaktionen mit und benutzt diese für eigene Transaktionen. Dazu müsste der Angreifer sich aber in unmittelbarer Nähe der Transaktion aufhalten, außerdem müsste die Transaktion mit einer Fehlermeldung abgebrochen werden. Der mitgeschnittene Token bliebe dann bis zu 24 Stunden gültig, ein Angreifer könnte die Information also zur Abwicklung einer selbstinitiierten Transaktion benutzen.

Es sei aber nicht möglich, aus dem mitgeschnittenen Token Rückschlüsse auf die hinterlegten Zahlungsinformationen wie zum Beispiel der Kreditkarte zu gewinnen, schreibt Samsung. Mendoza empfiehlt Samsung, nicht erfolgreich genutzte Tokens schneller als erst nach 24 Stunden zu entwerten, um Angriffe zu erschweren. Außerdem seien im Quellcode fest codierte Passwörter verwendet worden, um Informationen zu verschlüsseln. Dies sei keine angemessene Sicherheitsmaßnahme für einen solchen Dienst.

Tokens per Social Engineering einsammeln

Mendoza beschreibt auch einen Weg, mit dem sich Angreifer gültige Token verschaffen könnten. Sie könnten sich als Samsung-Mitarbeiter ausgeben und an einem öffentlichen Ort mit einem Stand platzieren. Dort könnten sie Passanten anbieten, ihnen die Funktionsweise von Samsung Pay an ihren eigenen Geräten zu demonstrieren und die erzeugten Tokens im Hintergrund sniffen. Solche Social-Engineering-Angriffe könnten bei einigen Nutzern durchaus Erfolg haben.

Samsung-Konkurrent Apple hat mit Apple Pay ein eigenes Zahlungssystem entwickelt. Weil Apple Pay die eingegebene Kreditkarteninformationen nur unzureichend prüft, haben Betrüger das System in der Vergangenheit immer wieder missbraucht, um damit Informationen aus Kreditkartendaten-Dumps für Zahlungen zu nutzen. Beide Zahlungsdienste sind derzeit in Deutschland nicht verfügbar und nur über Umwege nutzbar.


eye home zur Startseite
joypad 10. Aug 2016

Nicht Apple-Pay ist unsicher, sondern das Einmelden einer Kreditkarte als Zahlungsart...

Freiheit statt... 10. Aug 2016

...diese Tokens vorauszuberechnen, dann frage ich mich schon, wieso es dem Hacker dann...



Anzeige

Stellenmarkt
  1. Bosch Service Solutions Magdeburg GmbH, Berlin
  2. Vodafone GmbH, Düsseldorf
  3. Fachhochschule Südwestfalen, Iserlohn
  4. ESG Elektroniksystem- und Logistik-GmbH, München


Anzeige
Blu-ray-Angebote
  1. 299,99€ (Vorbesteller-Preisgarantie)
  2. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)

Folgen Sie uns
       


  1. Windows 10

    Fall Creators Update macht Ryzen schneller

  2. Gesundheitskarte

    T-Systems will Konnektor bald ausliefern

  3. Galaxy Tab Active 2

    Samsungs neues Ruggedized-Tablet kommt mit S-Pen

  4. Jaxa

    Japanische Forscher finden riesige Höhle im Mond

  5. Deep Descent

    Aquanox lädt in Tiefsee-Beta

  6. Android-Apps

    Google belohnt Fehlersuche im Play Store

  7. Depublizierung

    7-Tage-Löschfrist für ARD und ZDF im Internet fällt weg

  8. Netzneutralität

    Telekom darf Auflagen zu Stream On länger prüfen

  9. Spielebranche

    Kopf-an-Kopf-Rennen zwischen Pro und X erwartet

  10. Thunderobot ST-Plus im Praxistest

    Da gehe ich doch lieber wieder draußen spielen!



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames-Rundschau: Fantastische Fantasy und das Echo der Doppelgänger
Indiegames-Rundschau
Fantastische Fantasy und das Echo der Doppelgänger
  1. Verlag IGN übernimmt Indiegames-Anbieter Humble Bundle
  2. Indiegames-Rundschau Cyberpunk, Knetmännchen und Kampfsportkünstler
  3. Indiegames-Rundschau Fantasysport, Burgbelagerungen und ein amorpher Blob

Xperia Touch im Test: Sonys coolem Android-Projektor fehlt das Killerfeature
Xperia Touch im Test
Sonys coolem Android-Projektor fehlt das Killerfeature
  1. Roboter Sony lässt Aibo als Alexa-Konkurrenten wieder auferstehen
  2. Sony Xperia XZ1 Compact im Test Alternativlos für Freunde kleiner Smartphones
  3. Sony Xperia XZ1 und XZ1 Compact sind erhältlich

Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

  1. Re: Ist bestimmt voller Creeper

    unbuntu | 08:18

  2. Re: Wir kolonialisieren

    unbuntu | 08:16

  3. Re: Asse 2.0

    unbuntu | 08:16

  4. Re: Fahrzeug brannte vollständig aus

    thinksimple | 08:10

  5. Re: Versichertenstammdatenmanagement

    AnDieLatte | 08:08


  1. 22:38

  2. 18:00

  3. 17:47

  4. 16:54

  5. 16:10

  6. 15:50

  7. 15:05

  8. 14:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel