Abo
  • IT-Karriere:

Samsung Pay: Mit kopierten Tokens einkaufen

Auf der Defcon hat ein Hacker verschiedene Angriffsszenarien gegen den Bezahldienst Samsung Pay vorgestellt, mit denen auf fremde Rechnung eingekauft werden kann. Samsung widerspricht einigen der Darstellungen, räumt aber Schwächen ein.

Artikel veröffentlicht am ,
Samsung Pay hat einige Sicherheitsprobleme.
Samsung Pay hat einige Sicherheitsprobleme. (Bild: Donald Bowers/Getty Images)

Der Hacker Salvador Mendoza hat auf der Defcon ein Angriffsszenario auf Samsungs Apple-Pay-Konkurrenz Samsung Pay vorgestellt. Dazu baute er sich ein kleines Gerät, mit dem er die von der Software generierten Authentifizierungstokens mitschneidet und diese dann für eigene Transaktionen missbraucht. Mendoza nutzt unter anderem das Magspoof-Design von Samy Kamkar.

Stellenmarkt
  1. Fresenius Medical Care Deutschland GmbH, Sankt Wendel
  2. Schwarz IT KG, Neckarsulm

Mendoza schreibt in einem Paper [PDF], dass es möglich sei, gültige Tokens auf Basis eines mitgeschnittenen Tokens vorauszuberechnen. Die Tokens sind jeweils für 24 Stunden, maximal aber für eine Transaktion gültig. Samsung schreibt in einem Statement, dass die Tokens auf Basis der vom Nutzer eingegebenen Zahlungsinformationen berechnet würden. Das Unternehmen bestreitet aber, dass die Tokens tatsächlich mit einfachen Mitteln berechnet werden könnten. Auch Mendoza spekuliert eher, dass dies möglich sei, als es wirklich zu beweisen.

Ein anderes von Mendoza vorgestelltes Angriffsszenario bestätigt Samsung indes, bezeichnet es aber als sehr unwahrscheinlich. Darin schneidet ein Angreifer mit einem selbstgebauten Gerät auf Basis eines Rasberry Pi Zero Tokens von Transaktionen mit und benutzt diese für eigene Transaktionen. Dazu müsste der Angreifer sich aber in unmittelbarer Nähe der Transaktion aufhalten, außerdem müsste die Transaktion mit einer Fehlermeldung abgebrochen werden. Der mitgeschnittene Token bliebe dann bis zu 24 Stunden gültig, ein Angreifer könnte die Information also zur Abwicklung einer selbstinitiierten Transaktion benutzen.

Es sei aber nicht möglich, aus dem mitgeschnittenen Token Rückschlüsse auf die hinterlegten Zahlungsinformationen wie zum Beispiel der Kreditkarte zu gewinnen, schreibt Samsung. Mendoza empfiehlt Samsung, nicht erfolgreich genutzte Tokens schneller als erst nach 24 Stunden zu entwerten, um Angriffe zu erschweren. Außerdem seien im Quellcode fest codierte Passwörter verwendet worden, um Informationen zu verschlüsseln. Dies sei keine angemessene Sicherheitsmaßnahme für einen solchen Dienst.

Tokens per Social Engineering einsammeln

Mendoza beschreibt auch einen Weg, mit dem sich Angreifer gültige Token verschaffen könnten. Sie könnten sich als Samsung-Mitarbeiter ausgeben und an einem öffentlichen Ort mit einem Stand platzieren. Dort könnten sie Passanten anbieten, ihnen die Funktionsweise von Samsung Pay an ihren eigenen Geräten zu demonstrieren und die erzeugten Tokens im Hintergrund sniffen. Solche Social-Engineering-Angriffe könnten bei einigen Nutzern durchaus Erfolg haben.

Samsung-Konkurrent Apple hat mit Apple Pay ein eigenes Zahlungssystem entwickelt. Weil Apple Pay die eingegebene Kreditkarteninformationen nur unzureichend prüft, haben Betrüger das System in der Vergangenheit immer wieder missbraucht, um damit Informationen aus Kreditkartendaten-Dumps für Zahlungen zu nutzen. Beide Zahlungsdienste sind derzeit in Deutschland nicht verfügbar und nur über Umwege nutzbar.



Anzeige
Hardware-Angebote
  1. 49,70€
  2. 339,00€ (Bestpreis!)

joypad 10. Aug 2016

Nicht Apple-Pay ist unsicher, sondern das Einmelden einer Kreditkarte als Zahlungsart...

Freiheit statt... 10. Aug 2016

...diese Tokens vorauszuberechnen, dann frage ich mich schon, wieso es dem Hacker dann...


Folgen Sie uns
       


Fairphone 3 - Fazit

Behebt das Fairphone 3 die Mängel der Vorgänger? Wir haben es getestet.

Fairphone 3 - Fazit Video aufrufen
Sonos Move im Test: Der vielseitigste Lautsprecher von Sonos
Sonos Move im Test
Der vielseitigste Lautsprecher von Sonos

Der Move von Sonos überzeugt durch Bluetooth und ist dank Akku und stabilem Gehäuse vorzüglich für den Außeneinsatz geeignet. Bei den Funktionen ist der Lautsprecher leider nicht so smart wie er sein könnte.
Ein Test von Ingo Pakalski

  1. Update für Multiroom-Lautsprecher Sonos-App spielt keine lokalen Inhalte mehr vom iPhone ab
  2. Smarter Lautsprecher Erster Sonos-Lautsprecher mit Akku und Bluetooth
  3. Soundbars Audiohersteller Teufel investiert in eigene Ladenkette

Dick Pics: Penis oder kein Penis?
Dick Pics
Penis oder kein Penis?

Eine Studentin arbeitet an einer Software, die automatisch Bilder von Penissen aus Direktnachrichten filtert. Wer mithelfen will, kann ihr Testobjekte schicken.
Ein Bericht von Fabian A. Scherschel

  1. Medienbericht US-Regierung will soziale Netzwerke stärker überwachen
  2. Soziales Netzwerk Openbook heißt jetzt Okuna
  3. EU-Wahl Spitzenkandidat Manfred Weber für Klarnamenpflicht im Netz

Innovationen auf der IAA: Vom Abbiegeassistenten bis zum Solarglasdach
Innovationen auf der IAA
Vom Abbiegeassistenten bis zum Solarglasdach

IAA 2019 Auf der IAA in Frankfurt sieht man nicht nur neue Autos, sondern auch etliche innovative Anwendungen und Bauteile. Zulieferer und Forscher präsentieren in Frankfurt ihre Ideen. Eine kleine Auswahl.
Ein Bericht von Dirk Kunde

  1. E-Auto Byton zeigt die Produktionsversion des M-Byte

    •  /