Samsung Pay aufgrund vorhersehbarer Sicherheits-Token angreifbar

Peter Marwan,
Samsung Pay (Bild: Cho Mu-hyun/ZDNet.com)

Sicherheitsforscher Salvador Mendoza hat sich mit dem Prozess beschäftigt, den die die Samsung-Pay-App nutzt, um Sicherheitstoken zu erstellen. Dabei fand er heraus, dass sie sich, nachdem das erste für eine Kreditkarte erstellt wurde, relativ gut vorhersagen und mit spezieller Hardware entwenden und auf einem anderen Smartphone verwenden lassen.

Der Sicherheitsforscher Salvador Mendoza hat eine Möglichkeit, gefunden, wie Kriminelle mit Samsungs Bezahldienst Samsung Pay im Namen eines Dritten bezahlen könnten. Möglich ist das durch eine Schachstelle, aufgrund der die von der Bezahl-App generierten Sicherheitstoken vorhersagbar sind. Dadurch lasen sich die auch auf einem anderen Smartphone verwenden und damit Einkäufe mit einem anderen Konto bezahlen.

Samsung (Bild: Samsung)

Samsung Pay basiert auf der Magnetic Secure Transmission (MST) gennanten Technik, die das koreanische Unternehmen durch die Übernahme von LoopPay vor rund eineinhalb Jahren gekauft hat. Sie ermöglicht es einem Smartphone, mit einem klassischen Magnetstreifenlesegerät berührungslos zu kommunizieren. Dazu werden die im Smartphone hinterlegten Kreditkartendaten in Token umgewandelt, die dann an das Lesegerät übertragen werden.

Mendoza fand jedoch heraus, dass diese Token vorhersagbar sind. Voraussetzung ist es lediglich, das erste Token für eine spezifische Kreditkarte zu kennen. Ein Angreifer könne die Token von einem Smartphone stehlen und anschließend ohne Einschränkungen auf einem anderen Gerät verwenden, so der Forscher. Bei einem Test habe er einen eigenen Token an einen Freund in Mexiko geschickt, der dort mit entsprechender Hardware seinen Einkauf bezahlt habe, obwohl Samsung Pay in Mexiko offiziell noch gar nicht verfügbar ist.

Die Token lassen sich laut Mendoza mit einer speziellen Vorrichtung stehlen, die wie ein MST-Lesegerät funktioniert und die sich am Unterarm befestigen lässt. Nimmt er ein Smartphone in die Hand, fängt das Gerät den Token ab und versendet ihn per E-Mail an eine zuvor definierte Adresse. So lässt sich der Token auch auf ein anderes Telefon übertragen. Die Vorrichtung könnte Mendoza zufolge aber auch an einem Lesegerät im Einzelhandel angebracht werden. Sie funktioniert dann ähnlich wie ein EC-Karten-Skimmer.

Der Hack funktioniere mit allen gängigen Kreditkarten, Debitkarten und auch Prepaidkarten. Gutscheinkarten seien weniger anfällig, da Samsung hier einen Barcode erzeuge, der an der Kasse gescannt werden muss, so der Forscher.

“Samsung Pay ist mit den fortschrittlichsten Sicherheitsfunktionen ausgestattet, wodurch sichergestellt wird, dass alle Zahlungsdaten verschlüsselt werden”, teilte ein Samsung-Sprecher mit. “Sollte es jemals eine mögliche Schwachstelle geben, werden wir sie sofort untersuchen und das Problem beheben.”



[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.