Hacker können PIN-Codes von Mastercard- und Maestro-Kontaktlos-Karten umgehen

Kontaktlose Mastercard- und Maestro-PINs können aufgrund einer neuen Sicherheitslücke, die von der Swiss College of Engineering in Zürich entdeckt wurde, umgangen werden, wie Cybersecurity News berichtet. 

Der Knackpunkt der Sicherheitslücke besteht darin, dass Diebe mit einer gehackten Mastercard oder Maestro-Karte kontaktlose Zahlungen durchführen können, ohne die PIN eingeben zu müssen.

In diesem Fall muss zunächst eine spezielle Software auf zwei Android-Smartphones installiert werden. Ein Gerät wird verwendet, um die Installation eines Kassenterminals zu simulieren, während das andere als Kartenemulator fungiert, der die Übertragung der geänderten Transaktionsdaten an ein echtes Kassenterminal ermöglicht. Sobald die Karte eine Transaktion auslöst, gibt sie alle zugehörigen Informationen preis.

Um weitere Angriffe zu verhindern, wollen die Sicherheitsexperten die App nicht preisgeben

Experten der ETH Zürich bestätigten, dass es sich um einen isolierten Angriff handelt, der aber in der Realität leicht ausgenutzt werden kann, da immer mehr Schlupflöcher in kontaktlosen Zahlungsmethoden aufgedeckt werden. In der Vergangenheit gelang es demselben Team bereits, die PINs für kontaktlose Zahlungen von Visa zu umgehen, ein Experiment, das in der Studie "The EMV Standard: Break, Fix, Verify" beschrieben ist.

Das aktuelle Experiment konzentrierte sich auf die Umgehung der PIN auf Karten, die nicht für das kontaktlose Zahlungsprotokoll von Visa verwendet werden, wobei jedoch die gleiche Strategie und bekannte Schwachstellen verwendet wurden. Das Team war in der Lage, die Spezifikationen für kontaktlose Zahlungen von Visa abzufangen und die Transaktionsaspekte an ein echtes Kassenterminal zu übertragen, das die PIN zusammen mit der Identifizierung des Kartenkäufers bereits verifiziert und bestätigt hatte, so dass der PoS keine weiteren Überprüfungen vornehmen musste.

Unabhängig davon, ob es sich um Visa, Mastercard oder Maestro handelte, gelang es der ETH, das Experiment erfolgreich durchzuführen, was nicht gerade das ist, was die Millionen von Nutzern kontaktloser Karten da draußen hören wollen. Aufgrund der Ernsthaftigkeit des Problems und seiner möglichen Folgen gaben die Forscher die Namen der verwendeten Apps nicht bekannt.