So schnell und einfach können Kreditkarten mit einer App kopiert werden (Video)

Martin Reitbauer 19. Februar 2015 0 Kommentar(e)

Mobiles Bezahlen per Smartphone wird die Zukunft, sofern man Apple und anderen Branchengrößen Glauben schenken darf. Allerdings ist das Ganze System ziemlich unsicher, denn mit Hilfe einer einfachen App können die Karten geklont und zum Bezahlen verwendet werden.

Auch interessant: LoopPay und Samsung bringen einen eigenen Bezahldienst auf den Markt [CES 2015]

Nexus_5_mastercard_main

Der australische Sicherheitsforscher Peter Fillmore hat bereits letztes Jahr im Oktober gezeigt, dass er mit einer App auf seinem Google Nexus 4 eine Visa und MasterCard Kreditkarte klonen kann. Damit hat er auch gleich ohne irgend ein Problem eingekauft. Obwohl die Meldung in der Medienlandschaft mehrfach die Runde machte und somit auch die Kreditkarten-Unternehmen von der Sicherheitsl√ľcke Wind bekamen, wurde nach wie vor wenig dagegen unternommen.

Das Problem der unsicheren √úbertragung ist auf den alten Magnetstreifen zur√ľckzuf√ľhren. Da viele Bankomat oder Kreditkarten den EMV-Standard (entwickelt von Europay, MasterCard und Visa) via Chip noch nicht unterst√ľtzen, ist es nach wie vor Gang und Gebe, dass der Magnetstreifen bei den Terminals unterst√ľtz wird. Genau hier beginnt das System von Fillmore zu greifen.

Eigentlich soll die drei bis vierstellige CVV-Nummer, die an der R√ľckseite einer jeden Kreditkarte zu finden ist, f√ľr mehr Sicherheit bei den Transaktionen sorgen. Beim Bezahlen mit der Karte wird eine solche Nummer dynamisch generiert und sollte damit eigentlich unknackbar sein. So sieht es zumindest in der Theorie aus, denn in der Realit√§t ist das Ganze nicht ganz so sicher.

So funktioniert‚Äės

Im Falle von Master Card PayPass ist die CVV-Nummer eine Zusammensetzung des Transaktionsz√§hlers (ATC) und einer ‚Äěunvorhersehbaren‚Äú Zahl vom Terminal. Diese Kombination wird dann mit Hilfe eines Schl√ľssels auf der Karte verschl√ľsselt. Das Problem daran ist, dass die unvorhersehbare Zahl ziemlich vorhersehbar ist. Fillmores App scannt die Kreditkarte per NFC und liest den ATC-Z√§hler aus. Direkt mit der App wird eine Tabelle geliefert, die alle m√∂glichen ‚ÄěZufallszahlen‚Äú des Terminals inklusive der dazugeh√∂rigen ATC und CVV-Nummern beinhaltet. Damit hat der Angreifer alle Informationen die er ben√∂tigt um einen Klon der Karte zu erstellen.

Dazu haben wir hier auch ein Video vorbereitet:

Das erschreckende ist, dass MasterCard den sichersten Sicherheitsmechanismus hat. Die meisten anderen Hersteller und Institutionen verzichten gänzlich auf eine Zufallszahl, wodurch das Klonen noch deutlich einfacher geht.

Alle sind betroffen!

Fillmore versichert im Interview mit Forbes, dass seine Vorgehensweise ganz einfach von anderen nachgemacht werden kann. Zusätzlich kommt auch noch dazu, dass dieses System weltweit (!!!) funktioniert.

Der eine oder andere wird jetzt behaupten, dass der Angreifer zum Scannen der Karte ja √ľberhaupt einmal in die Reichweite der Kreditkarte kommen muss. Bei herk√∂mmlichen Ger√§ten betr√§gt diese knapp 5 Zentimeter, wenn √ľberhaupt. Sollte jemand eine derartige App entwickeln, dann ist die Wahrscheinlichkeit auch sehr hoch, dass er eine NFC-Antenne baut, bei der die Reichweite deutlich h√∂her ist. Fillmore spricht hier von bis zu 30 Zentimeter und der M√∂glichkeit gleich mehrere Karten auf einmal lesen zu k√∂nnen.

Bevor jetzt hier Panik ausbricht: Fillmore hat nicht geplant seine App zu ver√∂ffentlichen, obwohl dieser Zug die Kreditkarteninstitutionen Visa, MasterCard und Co. ordentlich unter Druck setzen w√ľrde. Vorerst will er es bei einer Anwendung belassen, die uns nur zeigt wie angreifbar unsere Karten sind.

Hoffentlich bringen die Kreditkarteninstitutionen demn√§chst ein Verbessertes System, welches nicht derartige Sicherheitsl√ľcken beinhaltet. Speziell im Hinblick auf mobile Payment via Smartphone ist das nicht zu vernachl√§ssigen.

Quelle: Forbes

auf Facebook teilen auf Google+ teilen auf Twitter teilen
pic_MR_klein

Martin Reitbauer   Chefredakteur

Als Chefredakteur von Android Magazin und ANDROID APPS sowie als Redakteur der Plattform-agnostischen Zeitschrift SMARTPHONE ist Martin haupts√§chlich mit den Print-Magazinen des Verlags hinter androidmag.de besch√§ftigt. Ab und an bleibt dennoch Zeit f√ľr einen Blog-Artikel. Neben Android gilt seine Begeisterung GNU/Linux und freier Software ganz allgemein.

Facebook Profil Google+ Profil