Mobiles Bezahlen per Smartphone wird die Zukunft, sofern man Apple und anderen Branchengrößen Glauben schenken darf. Allerdings ist das Ganze System ziemlich unsicher, denn mit Hilfe einer einfachen App können die Karten geklont und zum Bezahlen verwendet werden.
Auch interessant:Â LoopPay und Samsung bringen einen eigenen Bezahldienst auf den Markt [CES 2015]
Der australische Sicherheitsforscher Peter Fillmore hat bereits letztes Jahr im Oktober gezeigt, dass er mit einer App auf seinem Google Nexus 4 eine Visa und MasterCard Kreditkarte klonen kann. Damit hat er auch gleich ohne irgend ein Problem eingekauft. Obwohl die Meldung in der Medienlandschaft mehrfach die Runde machte und somit auch die Kreditkarten-Unternehmen von der Sicherheitslücke Wind bekamen, wurde nach wie vor wenig dagegen unternommen.
Das Problem der unsicheren Übertragung ist auf den alten Magnetstreifen zurückzuführen. Da viele Bankomat oder Kreditkarten den EMV-Standard (entwickelt von Europay, MasterCard und Visa) via Chip noch nicht unterstützen, ist es nach wie vor Gang und Gebe, dass der Magnetstreifen bei den Terminals unterstütz wird. Genau hier beginnt das System von Fillmore zu greifen.
Eigentlich soll die drei bis vierstellige CVV-Nummer, die an der Rückseite einer jeden Kreditkarte zu finden ist, für mehr Sicherheit bei den Transaktionen sorgen. Beim Bezahlen mit der Karte wird eine solche Nummer dynamisch generiert und sollte damit eigentlich unknackbar sein. So sieht es zumindest in der Theorie aus, denn in der Realität ist das Ganze nicht ganz so sicher.
So funktioniert‘s
Im Falle von Master Card PayPass ist die CVV-Nummer eine Zusammensetzung des Transaktionszählers (ATC) und einer „unvorhersehbaren“ Zahl vom Terminal. Diese Kombination wird dann mit Hilfe eines Schlüssels auf der Karte verschlüsselt. Das Problem daran ist, dass die unvorhersehbare Zahl ziemlich vorhersehbar ist. Fillmores App scannt die Kreditkarte per NFC und liest den ATC-Zähler aus. Direkt mit der App wird eine Tabelle geliefert, die alle möglichen „Zufallszahlen“ des Terminals inklusive der dazugehörigen ATC und CVV-Nummern beinhaltet. Damit hat der Angreifer alle Informationen die er benötigt um einen Klon der Karte zu erstellen.
Dazu haben wir hier auch ein Video vorbereitet:
Das erschreckende ist, dass MasterCard den sichersten Sicherheitsmechanismus hat. Die meisten anderen Hersteller und Institutionen verzichten gänzlich auf eine Zufallszahl, wodurch das Klonen noch deutlich einfacher geht.
Alle sind betroffen!
Fillmore versichert im Interview mit Forbes, dass seine Vorgehensweise ganz einfach von anderen nachgemacht werden kann. Zusätzlich kommt auch noch dazu, dass dieses System weltweit (!!!) funktioniert.
Der eine oder andere wird jetzt behaupten, dass der Angreifer zum Scannen der Karte ja überhaupt einmal in die Reichweite der Kreditkarte kommen muss. Bei herkömmlichen Geräten beträgt diese knapp 5 Zentimeter, wenn überhaupt. Sollte jemand eine derartige App entwickeln, dann ist die Wahrscheinlichkeit auch sehr hoch, dass er eine NFC-Antenne baut, bei der die Reichweite deutlich höher ist. Fillmore spricht hier von bis zu 30 Zentimeter und der Möglichkeit gleich mehrere Karten auf einmal lesen zu können.
Bevor jetzt hier Panik ausbricht: Fillmore hat nicht geplant seine App zu veröffentlichen, obwohl dieser Zug die Kreditkarteninstitutionen Visa, MasterCard und Co. ordentlich unter Druck setzen würde. Vorerst will er es bei einer Anwendung belassen, die uns nur zeigt wie angreifbar unsere Karten sind.
Hoffentlich bringen die Kreditkarteninstitutionen demnächst ein Verbessertes System, welches nicht derartige Sicherheitslücken beinhaltet. Speziell im Hinblick auf mobile Payment via Smartphone ist das nicht zu vernachlässigen.
Quelle: Forbes
