Zum zweiten Mal Sicherheitslücke bei Kreditkarten entdeckt
Letztes Jahr sind ETH-Forscher erstmals auf eine Schwachstelle bei gewissen Kreditkarten gestossen. Nun ist es ihnen gelungen, auch den PIN-Code weiterer Bezahlkarten zu ¨¹berlisten.
Das kontaktlose Bezahlen mit Kredit- und Debitkarten geht schnell und einfach ¨C und bietet sich in Pandemiezeiten besonders an. Ab einem bestimmten Betrag, in der Schweiz meist 80 Franken, ist zur Sicherheit die Eingabe eines PIN-Codes f?llig. Zumindest in der Theorie. Wie drei Forscher der Information Security Group der ETH Z¨¹rich zeigen konnten, l?sst sich diese Sicherheitsschranke bei bestimmten Karten jedoch ¨¹berlisten. Im Sommer 2020 dokumentierten sie erstmals am Beispiel von Visa-Karten, dass sich der PIN-Code ¨¹berwinden l?sst (siehe ETH-News vom 1.9.2020). Nun geben die Forscher bekannt, dass das auch bei anderen Typen von Bezahlkarten, namentlich Mastercard und Maestro, m?glich sei.
Die von den Forschern genutzte Methode orientiert sich unter anderem am ?man-in-the-middle?-Prinzip. Dabei manipuliert der Angreifer den Datenaustausch zwischen zwei Kommunikationspartnern, in diesem Fall zwischen Karte und Karten-Terminal. Die Forscher brauchten daf¨¹r eine eigens kreierte Android-App und zwei NFC-f?hige Mobiltelefone. Die App signalisierte dem Karten-Terminal in unwahrer Weise, dass erstens kein PIN n?tig sei, und dass zweitens der Karteninhaber verifiziert wurde. In einem ersten Schritt funktionierte die Methode nur bei Visa-Karten, da andere Anbieter ein anderes Protokoll verwenden (ein Protokoll regelt die Daten¨¹bertragung).
Sicherheitsschranke doppelt ¨¹berlistet
Die Idee, die der zweiten erfolgreichen PIN-Code-?berlistung zugrundliegt, wirkt auf den ersten Blick simpel: ?Unsere Methode l?sst den Terminal annehmen, dass eine Mastercard-Karte eine VISA-Karte sei?, erz?hlt Jorge Toro, Mitarbeiter bei der Professur f¨¹r Informationssicherheit und einer der Autoren des Papers. Das sei in der Realit?t deutlich komplexer als es klingt, f¨¹gt der Informatiker an. Zwei Sitzungen m¨¹ssen gleichzeitig laufen, damit es gelingt. Mit dem Karten-Terminal wird eine Visa-Transaktion durchgef¨¹hrt, w?hrend mit der Karte eine Mastercard-Transaktion l?uft. Die Forscher wendeten diese Methode bei zwei Mastercard-Kreditkarten sowie zwei Maestro-Debitkarten von vier verschiedenen Banken an.
Die Forscher haben umgehend nach ihrer Entdeckung mit Mastercard Kontakt aufgenommen. Sie konnten auch experimentell nachweisen, dass die von Mastercard getroffenen Vorkehrungen wirksam sind. ?Der Austausch mit der Firma war angenehm und spannend?, erz?hlt Jorge Toro. Mastercard passte die betreffenden Sicherheitsvorkehrungen an und bat die Forscher, die Attacke erneut zu probieren. Diesmal scheiterte sie. Das Paper mit der genauen Beschreibung der Methode werden die Forscher im August am Symposium ?USENIX Security ¡®21? vorstellen.
EMV-Standard als Fehlerquelle
Die geschilderten Sicherheitsl¨¹cken bei kontaktlosen Bezahlkarten h?ngen vor allem mit dem sogenannten EMV-Standard zusammen, einem internationalen Protokollstandard, der diesen Karten zugrundliegt. Logische Fehler in diesem Regelwerk sind schwer auffindbar, nur schon wegen seiner schieren L?nge von ¨¹ber 2'000 Seiten. Die ETH-Forscher betonen auf ihrer Projektwebsite, dass solche Systeme vermehrt automatisch gepr¨¹ft werden m¨¹ssen, da sie f¨¹r Menschen zu komplex seien.