Wirtschaft
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

«PIN nutzlos»: ETH-Forscher entdecken Sicherheitslücke bei Kreditkarten



Zur

ETH findet ein Schlupfloch bei Kreditkarten. Bild: sda

Eine Schwachstelle im Protokoll des Kreditkartenunternehmens Visa erlaubt Betrügern, Beträge von Karten abzubuchen, die eigentlich mit einem PIN-​Code bestätigt werden müssten. Das teilte die ETH Zürich am Dienstag mit.

«Der PIN-​Code ist bei diesen Karten im Grunde genommen nutzlos», sagte der Informatiker Jorge Toro-​Pozo gemäss der Mitteilung. Da andere Unternehmen wie Mastercard, American Express oder JCB ein anderes Protokoll verwenden als Visa, sind diese Karten von der identifizierten Schwachstelle nicht betroffen. Möglicherweise besteht die Lücke aber auch bei Karten von Discover und UnionPay.

Die Basis für das bargeldlose Bezahlen ist der EMV-​Standard, der bei weltweit über neun Milliarden Karten zur Anwendung kommt. Diesen haben die Wissenschaftler unter die Lupe genommen und sind im Protokoll, das vom Kreditkartenunternehmen Visa eingesetzt wird, auf die Sicherheitslücke gestossen. Die Resultate der Arbeit wurden auf den Preprint-Server «arXiv» hochgeladen und noch nicht von anderen Wissenschaftlern begutachtet.

App überlistet Sicherheitssystem

Die ETH-Forschenden machten mit ihren eigenen Kreditkarten die Probe aufs Exempel: Der vermeintliche Betrug gelang ihnen in verschiedenen Geschäften. Dafür programmierten sie eine Android-App, die das Sicherheitssystem der Karte überlistet. Die App ermöglicht es Handys, vom Chip auf der Kreditkarte zu lesen und mit Bezahlterminals Informationen auszutauschen.

Um Geld von der Kreditkarte abzubuchen, lasen die Forschenden zunächst mit einem ersten Handy Daten von der Karte ein und übermittelten diese an ein zweites Handy. Mit diesem buchten sie dann den gewünschten Betrag an der Kasse ab. Das Android-Betriebssystem wies übrigens keine speziellen Sicherheitshürden auf, um die neu entwickelte App zu installieren.

Die Forschenden haben Visa bereits über die Sicherheitslücke informiert. Diese zu schliessen wäre laut ihnen nur mit geringem Aufwand verbunden: Drei Ergänzungen im Protokoll würden beim nächsten Softwareupdate auf den Bezahlterminals genügen. Die Karten müssten dafür nicht ersetzt werden, sagte Toro. (aeg/sda)

DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

So manipulieren Karten unser Kaufverhalten

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

33 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
Der Buchstabe I
01.09.2020 14:19registriert January 2020
Bei irgendeinem Online-Account:
Gross- und Kleinbuchstaben, Zahlen, Sonderzeichen, 36 Stellen, das Blut einer Jungfrau, das Haar eines Einhorns.
Bei der Kreditkarte:
Zugriff auf dein gesamtes Vermögen Easy Brudi, vier Zahlen.
1136
Melden
Zum Kommentar
33

Schweizer Sektenführer Sasek von Anonymous brutal vorgeführt

Netzaktivisten haben die Schweizer OCG-Sekte gehackt. Veröffentlichte Dokumente zeigen, welche Spenden die Sekte von ihren Mitgliedern erhält. Sektenführer Ivo Sasek macht derweil mit Panikvideos gegen Corona-Schutzmassnahmen mobil.

Wie lukrativ ist es Sektenführer zu sein? Dank des Hacker-Kollektivs Anonymous kennen wir nun die ungefähre Antwort. Die Netzaktivisten haben in den letzten Wochen und Monaten mehrere Server der Schweizer Sekte Organische Christus-Generation (OCG) von Sektenführer Ivo Sasek gehackt und tausende E-Mails, Dokumente und insgesamt rund 300 GB an Dateien erbeutet, ausgewertet und Teile davon veröffentlicht. Darunter Tabellen, die fein säuberlich die Spenden der Sektenmitglieder aufführen. Wir …

Artikel lesen
Link zum Artikel