Der Sicherheitsforscher Salvador Mendoza hat eine Möglichkeit, gefunden, wie Kriminelle mit Samsungs Bezahldienst Samsung Pay im Namen eines Dritten bezahlen könnten. Möglich ist das durch eine Schachstelle, aufgrund der die von der Bezahl-App generierten Sicherheitstoken vorhersagbar sind. Dadurch lasen sich die auch auf einem anderen Smartphone verwenden und damit Einkäufe mit einem anderen Konto bezahlen.
Samsung Pay basiert auf der Magnetic Secure Transmission (MST) gennanten Technik, die das koreanische Unternehmen durch die Übernahme von LoopPay vor rund eineinhalb Jahren gekauft hat. Sie ermöglicht es einem Smartphone, mit einem klassischen Magnetstreifenlesegerät berührungslos zu kommunizieren. Dazu werden die im Smartphone hinterlegten Kreditkartendaten in Token umgewandelt, die dann an das Lesegerät übertragen werden.
Mendoza fand jedoch heraus, dass diese Token vorhersagbar sind. Voraussetzung ist es lediglich, das erste Token für eine spezifische Kreditkarte zu kennen. Ein Angreifer könne die Token von einem Smartphone stehlen und anschließend ohne Einschränkungen auf einem anderen Gerät verwenden, so der Forscher. Bei einem Test habe er einen eigenen Token an einen Freund in Mexiko geschickt, der dort mit entsprechender Hardware seinen Einkauf bezahlt habe, obwohl Samsung Pay in Mexiko offiziell noch gar nicht verfügbar ist.
Die Token lassen sich laut Mendoza mit einer speziellen Vorrichtung stehlen, die wie ein MST-Lesegerät funktioniert und die sich am Unterarm befestigen lässt. Nimmt er ein Smartphone in die Hand, fängt das Gerät den Token ab und versendet ihn per E-Mail an eine zuvor definierte Adresse. So lässt sich der Token auch auf ein anderes Telefon übertragen. Die Vorrichtung könnte Mendoza zufolge aber auch an einem Lesegerät im Einzelhandel angebracht werden. Sie funktioniert dann ähnlich wie ein EC-Karten-Skimmer.
Der Hack funktioniere mit allen gängigen Kreditkarten, Debitkarten und auch Prepaidkarten. Gutscheinkarten seien weniger anfällig, da Samsung hier einen Barcode erzeuge, der an der Kasse gescannt werden muss, so der Forscher.
“Samsung Pay ist mit den fortschrittlichsten Sicherheitsfunktionen ausgestattet, wodurch sichergestellt wird, dass alle Zahlungsdaten verschlüsselt werden”, teilte ein Samsung-Sprecher mit. “Sollte es jemals eine mögliche Schwachstelle geben, werden wir sie sofort untersuchen und das Problem beheben.”
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.
Absicherung der IT-Infrastruktur erfolgt über die Zero Trust Exchange-Plattform von Zscaler.
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…
