In der letzten Woche haben Sicherheitsforscher der ETH Zürich bei der Modellierung des EMV-Protokolls für Smart Cards ein Sicherheitsproblem entdeckt, das das kontaktlosen Bezahlen mit Visa-Karten ohne PIN-Eingabe erlaubt.
Den Wissenschaftlern David Basin, Ralf Sasse und Jorge Toro ist es gelungen, sich als Man in the Middle zwischen Karte und Bezahlterminal einzufädeln und dabei die PIN-Abfrage beim kontaktlosen Bezahlen außer Kraft zu setzen. Mit dem Trick könnten Kriminelle mit einer gestohlenen Karte auch Käufe deutlich über dem Sicherheitslimit (50 Euro in Deutschland) durchführen.
Einzelheiten zum VISA-Hack
Dazu benutzen die Forscher zwei Smartphones, auf denen eine von ihnen entwickelte App lief. Eins der beiden Geräte diente als (Fake-)Bezahlterminal und musste sich in der Nähe einer echten Karte befinden. Das zweite Smartphone emulierte die Karte.
Aus Sicht des Kassenpersonal scheint der Kunde dabei mit dem Smartphone zu bezahlen. Allerdings ändert die App die übertragenen Daten des Bezahlvorgangs und erreicht damit, dass dem echten Terminal vorgespiegelt wird, dass die PIN nicht mehr überprüft werden muss, weil der Karteninhaber zum Beispiel schon über das Smartphone verifiziert wurde.
Abhilfe ist mit wenig Aufwand möglich
Die Sicherheitsforscher aus Zürich sagen in ihrem Paper, dass Visa bzw. die Banken ihre aktuelle Angriffsmethode mit relativ niedrigem Aufwand verhindern könnten und dass schon ausgegebene Karten dafür nicht verändert werden müssten.
