Den PIN-Code überlisten

Kreditkarten, mit denen kontaktlos bezahlt werden kann, sind sehr beliebt. Mit ihnen k?nnen an der Kasse kleinere Betr?ge einfach und schnell beglichen werden. Gleichzeitig gelten sie als sicher, weil gr?ssere Summen nur nach Eingabe eines Sicherheitscodes abgebucht werden k?nnen.

Die Basis f¨¹r die meisten dieser Transaktionen ist der EMV-Standard, der bei weltweit ¨¹ber neun Milliarden Karten zur Anwendung kommt. Entwickelt wurde dieser Standard in den 1990er-Jahren von den drei grossen Unternehmen Europay, Mastercard und Visa (daher die Bezeichnung EMV). Obwohl seither mehrmals ¨¹berarbeitet, weist das komplexe Regelwerk verschiedene Schwachstellen auf, die ausgenutzt werden k?nnen.

Gezielt nach Schwachstellen gefahndet

Nachdem bereits andere Sicherheitsspezialisten Fehler im Standard entdeckt haben, berichten nun Wissenschaftler der ETH Z¨¹rich von einer weiteren gravierenden Sicherheitsl¨¹cke. Die ETH-Forscher werden ihre Arbeit, die zurzeit als Vorabdruck vorliegt, am IEEE Symposium on Security and Privacy 2021 pr?sentieren.

In einem ersten Schritt haben David Basin, Professor f¨¹r Informationssicherheit, Ralf Sasse, wissenschaftlicher Mitarbeiter am Departement Informatik, und Jorge Toro-Pozo, Postdoktorand in Basins Gruppe, mit einem eigens entwickelten Modell die zentralen Elemente des EMV-Standards unter die Lupe genommen. Dabei ist ihnen aufgefallen, dass es im Protokoll, das vom Kreditkartenunternehmen Visa eingesetzt wird, eine kritische L¨¹cke gibt.

Die erw?hnte Schwachstelle erlaubt es Betr¨¹gern, bei Karten, die verloren gingen oder gestohlen wurden, Betr?ge abzubuchen, die eigentlich mit einem PIN-Code best?tigt werden m¨¹ssten. ?Der PIN-Code ist bei diesen Karten im Grunde genommen nutzlos?, bringt es Toro auf den Punkt. Da andere Unternehmen wie Mastercard, American Express oder JCB ein anderes Protokoll verwenden als Visa, sind diese Karten von der erw?hnten Schwachstelle nicht betroffen. M?glicherweise besteht die L¨¹cke jedoch ebenfalls bei Karten von Discover und UnionPay, die ein vergleichbares Protokoll verwenden wie Visa.

Den rechtm?ssigen Besitz vort?uschen

Die Forscher konnten demonstrieren, dass die Schwachstelle tats?chlich in der Praxis ausgenutzt werden kann, auch wenn es dazu etwas Aufwand braucht. Sie haben dazu eine Android-App geschrieben, die sie auf zwei NFC-f?higen Handys installiert haben. Die beide Ger?te sind also in der Lage, Daten vom Chip auf der Kreditkarte zu lesen und mit Bezahlterminals Informationen auszutauschen. Um diese App zu installieren, mussten die Forscher ¨¹brigens keine speziellen Sicherheitsh¨¹rden im Android-Betriebssystem ¨¹berwinden.

Will man nun unbefugt Geld von einer fremden Kreditkarte abbuchen, muss man zun?chst mit dem ersten Handy die notwendigen Daten von der Kreditkarte einlesen und sie an das zweite Handy ¨¹bermitteln. Mit dem zweiten Handy bucht man dann gleichzeitig an der Kasse den gew¨¹nschten Betrag ab, so wie das heute viele Kreditkartenbesitzer machen. Die App t?uscht dabei den rechtm?ssigen Besitz der Kreditkarte vor, so dass der Verk?ufer nicht bemerkt, dass der K?ufer nicht berechtigt ist, die Transaktion zu t?tigen. Entscheidend ist, dass die App das Sicherheitssystem der Karte ¨¹berlistet: Obwohl die Summe ¨¹ber der Limite liegt, die man ohne PIN bezahlen kann, wird kein Code abgefragt.

Praxistest bestanden

Mit ihren eigenen Kreditkarten konnten die Forscher in verschiedenen Gesch?ften zeigen, dass das Betrugssystem tats?chlich funktioniert. ?Der Betrug klappt mit Debit- und Kreditkarten, die in verschiedenen L?ndern auf unterschiedliche W?hrungen ausgestellt wurden?, h?lt Toro fest. Die Forscher haben Visa bereits ¨¹ber die Schwachstelle informiert ¨C und auch eine konkrete L?sung f¨¹r das Problem vorgeschlagen. ?Es braucht drei Erg?nzungen im Protokoll, die beim n?chsten Softwareupdate auf den Bezahlterminals installiert werden k?nnten?, erkl?rt Toro. ?Der Aufwand daf¨¹r w?re gering. Die Karten m¨¹ssen daf¨¹r nicht ersetzt werden, und alle Erg?nzungen sind mit dem EMV-Standard kompatibel.?