Samsung Pay: Schwachstelle beim bargeldlosen Bezahlen entdeckt

Tuan Le

Niemand rennt gerne mit einem dicken Portmonee voller Münzen in der Jeanstasche herum – gut, dass Smartphone-Hersteller wie Apple und Samsung sich der Aufgabe verschrieben haben, das bargeldlose Bezahlen per Smartphone salonfähig zu machen. Der Sicherheitsexperte Salvador Mendoza hat jetzt allerdings eine Schwachstelle in Samsung Pay entdeckt.

Samsung Pay: Schwachstelle beim bargeldlosen Bezahlen entdeckt

Kreditkarten sind schon immer ein beliebtes Ziel für Diebe und Betrüger gewesen – während man im Handel meistens nur nach der Unterschrift gefragt wird, benötigt man bei der Bezahlung online sogar ausschließlich die Kreditkarte sowie die auf der Rückseite befindliche Prüfnummer, um Zahlungen tätigen zu können. In Verbindung mit Samsung Pay scheint es aber eine noch gravierendere Sicherheitslücke zu geben, bei der sich Kriminelle nicht einmal mehr Zugriff auf die Kreditkarte selbst sichern müssen, um unbefugt Geld abzuheben.

Samsung Pay funktioniert in der Theorie wie folgt: Nachdem der Nutzer seine Kreditkarte in das Smartphone eingespeichert hat, generiert diese bei Bedarf einmalig verwendbare Tokens. Mit diesen Tokens kann der Nutzer dann Geld überweisen und dadurch Einkäufe tätigen. Selbst wenn die Tokens allerdings nicht genutzt werden, bleiben sie weiterhin ganze 24 Stunden aktiv.

Tokens zur Authentifizierung können leicht gestohlen werden

Mithilfe einer entsprechenden Vorrichtung können kriminelle Hacker derartige Tokens, die ja per Funk übertragen werden, ziemlich leicht abfangen. Salvadore Mendoza hat zu Demonstrationszwecken ein kleines Armband gebaut, das man unauffällig unter einem Hemd verstecken könnte, während man das Smartphone des jeweiligen Opfers in die Hand nimmt – wenn man in einem Geschäft als Verkäufer arbeitet, womöglich gar nicht so abwegig. Auch an Stellen, wo per Smartphone bezahlt wird, könnten Skimmer unauffällig positioniert werden, um Tokens abzugreifen. In einem YouTube-Video zeigt Mendoza den Prozess (allerdings auf Spanisch).

Da die Tokens 24 Stunden aktiv bleiben, bleibt den Hackern genug Zeit, um die Codes auf ihr eigenes Smartphone oder ein selbstgebautes MagSpoof-Gerät zu übertragen, mit dem sie dann selbst an entsprechenden Stellen drahtlos (nur eben nicht mit ihrem eigenen Geld, sondern das ihres Opfers) bezahlen können. Nun können die Tokens allerdings nur ein einziges Mal verwendet werden; entweder müsste man dem Kunden als krimineller Verkäufer also vorgaukeln, dass der erste Bezahlvorgang fehlgeschlagen ist (obwohl das Token tatsächlich nur an den Hacker gesendet wurde) oder aber anhand bereits generierter Tokens neue funktionierende Schlüssel generieren. Laut Mendoza sei die Sequenz der Tokens relativ leicht vorhersehbar, sobald man einen gültigen Schlüssel gestohlen hat; allerdings sind diese Tokens erst dann nutzbar, wenn eine Freigabe durch das Kreditinstitut gegeben worden ist, was diese Art von Betrug glücklicherweise unwahrscheinlich macht.

Samsung hat sich noch nicht direkt zur Schwachstelle geäußert und betonte lediglich, dass – sollte es potenzielle Schwachstellen geben – man umgehend handeln werde, um die Sache zu untersuchen und das Problem zu lösen. Man kann nur hoffen, dass der Hersteller Wort hält.

Quelle: ZDNet

LG G5 bei Amazon kaufen *

LG G5 mit Vertrag bei DeinHandy.de *

Zu den Kommentaren

Kommentare zu dieser News

* Werbung