Planet of Tech

Schwachstelle in Samsung Pay: Betrüger können mit fremden Kartendaten bezahlen

Eine Schwachstelle in der App von Samsung Pay ermöglicht es Hackern, mit fremden Kreditkarten zu bezahlen. Laut einem Sicherheitsforscher seien die generierten Transaktionstokens vorhersehbar, weshalb Betrüger ganz einfach mit den Kartendaten von anderen Samsung Pay Nutzern bezahlen können.

Der Sicherheitsforscher Salvador Mendoza hat eine kritische Schwachstelle in dem Bezahldienst Samsung Pay entdeckt. Um zu verstehen, wie diese ausgenutzt werden kann, muss erst einmal die Funktionsweise von dem Dienst erläutert werden. Anders als beispielsweise Apple Pay setzt Samsung nicht auf NFC, sondern auf herkömmliche Magnetlesegeräte. Mit der Magnetic Secure Transmission lesen die Kartenlesegeräte einen im Smartphone verbauten Magnetchip. Ähnlich ist es auch mit herkömmlichen Kreditkarten, welche einen Magnetstreifen besitzen und deshalb durch das Lesegerät gezogen werden müssen. Im Gegensatz zur herkömmlichen Kreditkarte werden bei Samsung Pay allerdings keine Kartendaten übertragen. Das Smartphone generiert für jede Transaktion einen neuen Token, welcher an das Lesegerät übermittelt wird. Dieser Token soll für Sicherheit sorgen, da der Händler zu keiner Zeit mit Informationen der Kreditkarte in Berührung kommt. Doch genau an diesen Tokens liegt die Schwachstelle: laut dem Forscher sind diese nämlich vorhersehbar und leicht zu erraten.

 

lo-c samsung pay Samsung Pay Schwachstelle in Samsung Pay: Betrüger können mit fremden Kartendaten bezahlen Samsung Pay 660x440

 

Damit der Hacker diese Schwachstelle ausnützen kann, benötigt dieser zunächst einen vom Opfer generierten Token. Dieser kann von dem Betrüger einfach mittels einer Vorrichtung am Unterarm abgefangen werden. Bei der Vorrichtung handelt es sich um ein ähnliches kleines Gerät wie das Lesegerät. Alternativ kann der Betrüger auch eine kleine Vorrichtung direkt am Kartenlesegerät anbringen, um den Token abzufangen. Salvador Mendzona behauptet nämlich, dass die neuen Token nach einem bestimmten Schema generiert werden. Die Token unterschiedlicher Kreditkarten unterscheiden sich zwar gut genug, allerdings werden bei derselben Kreditkarte die Token nach einem Schema generiert, welches der Sicherheitsforscher geknackt hat. Wer also einmal einen Token von seinem Opfer in den Händen hält, kann also dauerhaft auf dessen Kreditkarte einkaufen. Der Token muss nur noch auf der eigenen Hardware eingespeichert werden und schon kann mit einer fremden Karte bezahlt werden. Salvador Mendoza hat das Prinzip auch ausprobiert und seinen Token einem mexikanischen Freund geschickt. Dieser konnte mit den Daten von seinem Freund bezahlen und das, obwohl Samsung Pay noch gar nicht in Mexiko angekommen ist.

Laut dem Sicherheitsforscher sei jede Art von Bankkarten betroffen. Jedem Samsung Pay Nutzer können also Tokens entgleiten, was schnell teuer werden kann. Anstatt die Kartennummer werden den Opfern heutzutage eben Tokens gestohlen, welche ganz einfach fortgesetzt werden können. Lediglich Gutscheine seien nicht anfällig, so der Forscher. Bei Gutscheinen wird nämlich ein Barcode statt einem Token generiert. Dieser Barcode muss dann von dem Kassierer eingescannt werden. Um an den Barcode zu gelangen, müsste der Betrüger das Smartphone selbst in den Händen halten oder ein Bild davon machen – und das wiederum würde sicherlich auffliegen.

Schön, dass du da bist. Wir würden uns sehr freuen, wenn du uns als TechnikSurfer Leser deinen Freunden weiterempfehlen, uns auf den sozialen Netzwerken folgen und unsere App für Android oder iOS installieren würdest. Es lohnt sich - garantiert!

Moritz Krauß

Moritz Krauß

Founder & Editor in Chief


Ähnliche Artikel

Vodafone: Datenautomatik ist nicht zulässig

Immer mehr Provider verwenden eine Datenautomatik in ihren Verträgen. Diese teure Vertragsfalle möchte die Verbraucherzentrale Bundesverband verhindern und hat die

Huawei Mate 9 Erfahrungsbericht: der kleine Galaxy Note 7 Ersatz

Mit dem Huawei Mate 9 hat der chinesische Hersteller ein Smartphone veröffentlicht, welches durch schnelle Technik und einen großen Bildschirm auffallen

Verschlüsselung von WhatsApp war noch nie sicher [UPDATE]

Seit etwa einem Jahr werden sämtliche Chats bei WhatsApp verschlüsselt übertragen. Damit soll verhindert werden, dass Dritte mitlesen können. Doch

Noch keine Kommentare vorhanden Sei der Erste und hinterlasse einen Kommentar!

Hinterlasse einen Kommentar

Your e-mail address will not be published.
Required fields are marked*


Kommentare erscheinen erst nach der Freischaltung.