28 Aug Zahlen ohne PIN – Forscher knacken Visas NFC-Bezahlfunktion
Kontaktlos und ohne PIN bezahlten Forscher der ETH Zürich mit Visa beliebig teure Produkte.
Das kontaktlose Bezahlen mit Karte funktioniert nur bis zu typischerweise 30-50 Euro ohne PIN. Für teure Bezahlvorgänge wird normalerweise doch die PIN abgefragt. Das soll den Missbrauch von gestohlenen Karten einschränken. Doch Forscher der ETH Zürich demonstrierten, dass sich zumindest bei Visa-Karten diese PIN-Abfrage leicht umgehen lässt. Der Angriff beruht auf einem sogenannten „Man in the Middle“ (MITM), der sich zwischen Bezahlterminal und Karte einklinkt und die Transaktion manipuliert. Konkret übernehmen diese MITM-Funktion zwei Handys, die miteinander via WLAN kommunizieren und auf denen jeweils eine von den Forschern entwickelte App läuft. Die Methode erinnert an bereits früher von Kriminellen genutzte Angriffe auf Kreditkarten, bei denen aufgelötete Chips die Rolle des MITMs übernahmen. Der Fehler von Visa ist, dass die Manipulation des MITMs nicht auffällt, weil die veränderten Daten nicht kryptografisch gesichert sind. Mastercard macht das offenbar anders; mit deren Karten scheiterten die Angriffe der Schweizer Forscher.
Quelle: Jürgen Schmidt auf heise.de