Zum zweiten Mal Sicherheitslücke bei Kreditkarten entdeckt
Letztes Jahr sind ETH-Forscher erstmals auf eine Schwachstelle bei gewissen Kreditkarten gestossen. Nun ist es ihnen gelungen, auch den PIN-Code weiterer Bezahlkarten zu überlisten.
Das kontaktlose Bezahlen mit Kredit- und Debitkarten geht schnell und einfach – und bietet sich in Pandemiezeiten besonders an. Ab einem bestimmten Betrag, in der Schweiz meist 80 Franken, ist zur Sicherheit die Eingabe eines PIN-Codes f?llig. Zumindest in der Theorie. Wie drei Forscher der Information Security Group der ETH Zürich zeigen konnten, l?sst sich diese Sicherheitsschranke bei bestimmten Karten jedoch überlisten. Im Sommer 2020 dokumentierten sie erstmals am Beispiel von Visa-Karten, dass sich der PIN-Code überwinden l?sst (siehe ETH-News vom 1.9.2020). Nun geben die Forscher bekannt, dass das auch bei anderen Typen von Bezahlkarten, namentlich Mastercard und Maestro, m?glich sei.
Die von den Forschern genutzte Methode orientiert sich unter anderem am ?man-in-the-middle?-Prinzip. Dabei manipuliert der Angreifer den Datenaustausch zwischen zwei Kommunikationspartnern, in diesem Fall zwischen Karte und Karten-Terminal. Die Forscher brauchten dafür eine eigens kreierte Android-App und zwei NFC-f?hige Mobiltelefone. Die App signalisierte dem Karten-Terminal in unwahrer Weise, dass erstens kein PIN n?tig sei, und dass zweitens der Karteninhaber verifiziert wurde. In einem ersten Schritt funktionierte die Methode nur bei Visa-Karten, da andere Anbieter ein anderes Protokoll verwenden (ein Protokoll regelt die Datenübertragung).
Sicherheitsschranke doppelt überlistet
Die Idee, die der zweiten erfolgreichen PIN-Code-?berlistung zugrundliegt, wirkt auf den ersten Blick simpel: ?Unsere Methode l?sst den Terminal annehmen, dass eine Mastercard-Karte eine VISA-Karte sei?, erz?hlt Jorge Toro, Mitarbeiter bei der Professur für Informationssicherheit und einer der Autoren des Papers. Das sei in der Realit?t deutlich komplexer als es klingt, fügt der Informatiker an. Zwei Sitzungen müssen gleichzeitig laufen, damit es gelingt. Mit dem Karten-Terminal wird eine Visa-Transaktion durchgeführt, w?hrend mit der Karte eine Mastercard-Transaktion l?uft. Die Forscher wendeten diese Methode bei zwei Mastercard-Kreditkarten sowie zwei Maestro-Debitkarten von vier verschiedenen Banken an.
Die Forscher haben umgehend nach ihrer Entdeckung mit Mastercard Kontakt aufgenommen. Sie konnten auch experimentell nachweisen, dass die von Mastercard getroffenen Vorkehrungen wirksam sind. ?Der Austausch mit der Firma war angenehm und spannend?, erz?hlt Jorge Toro. Mastercard passte die betreffenden Sicherheitsvorkehrungen an und bat die Forscher, die Attacke erneut zu probieren. Diesmal scheiterte sie. Das Paper mit der genauen Beschreibung der Methode werden die Forscher im August am Symposium ?USENIX Security ‘21? vorstellen.
EMV-Standard als Fehlerquelle
Die geschilderten Sicherheitslücken bei kontaktlosen Bezahlkarten h?ngen vor allem mit dem sogenannten EMV-Standard zusammen, einem internationalen Protokollstandard, der diesen Karten zugrundliegt. Logische Fehler in diesem Regelwerk sind schwer auffindbar, nur schon wegen seiner schieren L?nge von über 2'000 Seiten. Die ETH-Forscher betonen auf ihrer Projektwebsite, dass solche Systeme vermehrt automatisch geprüft werden müssen, da sie für Menschen zu komplex seien.