Samsung Pay: Mit kopierten Tokens einkaufen

Auf der Defcon hat ein Hacker verschiedene Angriffsszenarien gegen den Bezahldienst Samsung Pay vorgestellt, mit denen auf fremde Rechnung eingekauft werden kann. Samsung widerspricht einigen der Darstellungen, räumt aber Schwächen ein.

Artikel veröffentlicht am ,
Samsung Pay hat einige Sicherheitsprobleme.
Samsung Pay hat einige Sicherheitsprobleme. (Bild: Donald Bowers/Getty Images)

Der Hacker Salvador Mendoza hat auf der Defcon ein Angriffsszenario auf Samsungs Apple-Pay-Konkurrenz Samsung Pay vorgestellt. Dazu baute er sich ein kleines Gerät, mit dem er die von der Software generierten Authentifizierungstokens mitschneidet und diese dann für eigene Transaktionen missbraucht. Mendoza nutzt unter anderem das Magspoof-Design von Samy Kamkar.

Stellenmarkt
  1. Backend-Entwickler*in|m/w/d
    snabble GmbH, Bonn
  2. IT Systems Engineer/IT User HelpDesk/IT-Support (m/w/d)
    Alpla-Werke Lehner GmbH & Co KG, Markdorf
Detailsuche

Mendoza schreibt in einem Paper [PDF], dass es möglich sei, gültige Tokens auf Basis eines mitgeschnittenen Tokens vorauszuberechnen. Die Tokens sind jeweils für 24 Stunden, maximal aber für eine Transaktion gültig. Samsung schreibt in einem Statement, dass die Tokens auf Basis der vom Nutzer eingegebenen Zahlungsinformationen berechnet würden. Das Unternehmen bestreitet aber, dass die Tokens tatsächlich mit einfachen Mitteln berechnet werden könnten. Auch Mendoza spekuliert eher, dass dies möglich sei, als es wirklich zu beweisen.

Ein anderes von Mendoza vorgestelltes Angriffsszenario bestätigt Samsung indes, bezeichnet es aber als sehr unwahrscheinlich. Darin schneidet ein Angreifer mit einem selbstgebauten Gerät auf Basis eines Rasberry Pi Zero Tokens von Transaktionen mit und benutzt diese für eigene Transaktionen. Dazu müsste der Angreifer sich aber in unmittelbarer Nähe der Transaktion aufhalten, außerdem müsste die Transaktion mit einer Fehlermeldung abgebrochen werden. Der mitgeschnittene Token bliebe dann bis zu 24 Stunden gültig, ein Angreifer könnte die Information also zur Abwicklung einer selbstinitiierten Transaktion benutzen.

Es sei aber nicht möglich, aus dem mitgeschnittenen Token Rückschlüsse auf die hinterlegten Zahlungsinformationen wie zum Beispiel der Kreditkarte zu gewinnen, schreibt Samsung. Mendoza empfiehlt Samsung, nicht erfolgreich genutzte Tokens schneller als erst nach 24 Stunden zu entwerten, um Angriffe zu erschweren. Außerdem seien im Quellcode fest codierte Passwörter verwendet worden, um Informationen zu verschlüsseln. Dies sei keine angemessene Sicherheitsmaßnahme für einen solchen Dienst.

Tokens per Social Engineering einsammeln

Golem Akademie
  1. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
Weitere IT-Trainings

Mendoza beschreibt auch einen Weg, mit dem sich Angreifer gültige Token verschaffen könnten. Sie könnten sich als Samsung-Mitarbeiter ausgeben und an einem öffentlichen Ort mit einem Stand platzieren. Dort könnten sie Passanten anbieten, ihnen die Funktionsweise von Samsung Pay an ihren eigenen Geräten zu demonstrieren und die erzeugten Tokens im Hintergrund sniffen. Solche Social-Engineering-Angriffe könnten bei einigen Nutzern durchaus Erfolg haben.

Samsung-Konkurrent Apple hat mit Apple Pay ein eigenes Zahlungssystem entwickelt. Weil Apple Pay die eingegebene Kreditkarteninformationen nur unzureichend prüft, haben Betrüger das System in der Vergangenheit immer wieder missbraucht, um damit Informationen aus Kreditkartendaten-Dumps für Zahlungen zu nutzen. Beide Zahlungsdienste sind derzeit in Deutschland nicht verfügbar und nur über Umwege nutzbar.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Framework Laptop im Hardware-Test
Schrauber aller Länder, vereinigt euch!

Der modulare Framework Laptop ist ein wahrgewordener Basteltraum. Und unsere Begeisterung für das, was damit alles möglich ist, lässt sich nur schwer bändigen.
Ein Test von Oliver Nickel und Sebastian Grüner

Framework Laptop im Hardware-Test: Schrauber aller Länder, vereinigt euch!
Artikel
  1. FTTH: Liberty Network startet noch mal in Deutschland
    FTTH
    Liberty Network startet noch mal in Deutschland

    Das erste FTTH-Projekt ist gescheitert. Jetzt wandert Liberty von Brandenburg nach Bayern an den Starnberger See.

  2. 5.000 Dollar Belohnung: Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen
    5.000 Dollar Belohnung
    Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen

    Tesla-Chef Elon Musk bot einem US-Teenager jüngst angeblich 5.000 US-Dollar, damit der seinen auf Twitter betriebenen Flight-Tracker einstellt.

  3. Let's Encrypt: Was Admins heute tun müssen
    Let's Encrypt
    Was Admins heute tun müssen

    Heute um 17 Uhr werden bei Let's Encrypt Zertifikate zurückgezogen. Wir beschreiben, wie Admins prüfen können, ob sie betroffen sind.
    Eine Anleitung von Hanno Böck

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 12GB 1.499€ • iPhone 13 Pro 512GB 1.349€ • DXRacer Gaming-Stuhl 159€ • LG OLED 55 Zoll 1.149€ • PS5 Digital mit o2-Vertrag bestellbar • Prime-Filme für je 0,99€ leihen • One Plus Nord 2 335€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Sennheiser Gaming-Headset 169,90€ [Werbung]
    •  /