Planet of Tech

Schwachstelle in Samsung Pay: Betrüger können mit fremden Kartendaten bezahlen

08 Aug, 2016 von
Schriftgröße -16+

Eine Schwachstelle in der App von Samsung Pay ermöglicht es Hackern, mit fremden Kreditkarten zu bezahlen. Laut einem Sicherheitsforscher seien die generierten Transaktionstokens vorhersehbar, weshalb Betrüger ganz einfach mit den Kartendaten von anderen Samsung Pay Nutzern bezahlen können.

Der Sicherheitsforscher Salvador Mendoza hat eine kritische Schwachstelle in dem Bezahldienst Samsung Pay entdeckt. Um zu verstehen, wie diese ausgenutzt werden kann, muss erst einmal die Funktionsweise von dem Dienst erläutert werden. Anders als beispielsweise Apple Pay setzt Samsung nicht auf NFC, sondern auf herkömmliche Magnetlesegeräte. Mit der Magnetic Secure Transmission lesen die Kartenlesegeräte einen im Smartphone verbauten Magnetchip. Ähnlich ist es auch mit herkömmlichen Kreditkarten, welche einen Magnetstreifen besitzen und deshalb durch das Lesegerät gezogen werden müssen. Im Gegensatz zur herkömmlichen Kreditkarte werden bei Samsung Pay allerdings keine Kartendaten übertragen. Das Smartphone generiert für jede Transaktion einen neuen Token, welcher an das Lesegerät übermittelt wird. Dieser Token soll für Sicherheit sorgen, da der Händler zu keiner Zeit mit Informationen der Kreditkarte in Berührung kommt. Doch genau an diesen Tokens liegt die Schwachstelle: laut dem Forscher sind diese nämlich vorhersehbar und leicht zu erraten.

 

lo-c samsung pay Samsung Pay Schwachstelle in Samsung Pay: Betrüger können mit fremden Kartendaten bezahlen Samsung Pay 660x440

 

Damit der Hacker diese Schwachstelle ausnützen kann, benötigt dieser zunächst einen vom Opfer generierten Token. Dieser kann von dem Betrüger einfach mittels einer Vorrichtung am Unterarm abgefangen werden. Bei der Vorrichtung handelt es sich um ein ähnliches kleines Gerät wie das Lesegerät. Alternativ kann der Betrüger auch eine kleine Vorrichtung direkt am Kartenlesegerät anbringen, um den Token abzufangen. Salvador Mendzona behauptet nämlich, dass die neuen Token nach einem bestimmten Schema generiert werden. Die Token unterschiedlicher Kreditkarten unterscheiden sich zwar gut genug, allerdings werden bei derselben Kreditkarte die Token nach einem Schema generiert, welches der Sicherheitsforscher geknackt hat. Wer also einmal einen Token von seinem Opfer in den Händen hält, kann also dauerhaft auf dessen Kreditkarte einkaufen. Der Token muss nur noch auf der eigenen Hardware eingespeichert werden und schon kann mit einer fremden Karte bezahlt werden. Salvador Mendoza hat das Prinzip auch ausprobiert und seinen Token einem mexikanischen Freund geschickt. Dieser konnte mit den Daten von seinem Freund bezahlen und das, obwohl Samsung Pay noch gar nicht in Mexiko angekommen ist.

Laut dem Sicherheitsforscher sei jede Art von Bankkarten betroffen. Jedem Samsung Pay Nutzer können also Tokens entgleiten, was schnell teuer werden kann. Anstatt die Kartennummer werden den Opfern heutzutage eben Tokens gestohlen, welche ganz einfach fortgesetzt werden können. Lediglich Gutscheine seien nicht anfällig, so der Forscher. Bei Gutscheinen wird nämlich ein Barcode statt einem Token generiert. Dieser Barcode muss dann von dem Kassierer eingescannt werden. Um an den Barcode zu gelangen, müsste der Betrüger das Smartphone selbst in den Händen halten oder ein Bild davon machen – und das wiederum würde sicherlich auffliegen.

Schön, dass du da bist. Wir würden uns sehr freuen, wenn du uns als TechnikSurfer Leser deinen Freunden weiterempfehlen und uns auf den sozialen Netzwerken folgen würdest, damit du nichts mehr verpasst. Es lohnt sich - garantiert!

Moritz Krauß

Moritz Krauß

Founder & Editor in Chief

Alle Artikel von Moritz Krauß
Schlagworte:
all on turnalles dabeiBezahldienstDatenschutzNewsSamsungSamsung PaysicherSicherheitSicherheitslückeSmartphoneSoftwareübertragen

Ähnliche Artikel

News 7 Jahren ago Vodafone: Datenautomatik ist nicht zulässig

Vodafone: Datenautomatik ist nicht zulässig

Immer mehr Provider verwenden eine Datenautomatik in ihren Verträgen. Diese teure Vertragsfalle möchte die Verbraucherzentrale Bundesverband verhindern und hat die

Testberichte 7 Jahren ago Huawei Mate 9 Erfahrungsbericht: der kleine Galaxy Note 7 Ersatz

Huawei Mate 9 Erfahrungsbericht: der kleine Galaxy Note 7 Ersatz

Mit dem Huawei Mate 9 hat der chinesische Hersteller ein Smartphone veröffentlicht, welches durch schnelle Technik und einen großen Bildschirm auffallen

Software 7 Jahren ago Verschlüsselung von WhatsApp war noch nie sicher [UPDATE]

Verschlüsselung von WhatsApp war noch nie sicher [UPDATE]

Seit etwa einem Jahr werden sämtliche Chats bei WhatsApp verschlüsselt übertragen. Damit soll verhindert werden, dass Dritte mitlesen können. Doch

Keine Kommentare

Hinterlasse einen Kommentar
Noch keine Kommentare vorhanden Sei der Erste und hinterlasse einen Kommentar!

Hinterlasse einen Kommentar

Your e-mail address will not be published.
Required fields are marked*


Kommentare erscheinen erst nach der Freischaltung.

Unsere Mission

 

Der TechnikSurfer bietet dir die spannendsten Beiträge rund um Technik, Telekommunikation und mobilen Zeitgeist. Wir berichten über das, was berichtenswert ist - kompetent, objektiv, gründlich. Mit uns bist du immer bestens informiert. Hier erfährst du mehr über uns.
 

Transparenz ist alles

 

In unseren Testberichten möchten wir dir einen Eindruck davon geben, ob sich der Kauf von top-aktuellen Technikhighlights lohnt oder ob du doch lieber die Finger davon lassen solltest. Dabei spielt Transparenz und Ehrlichkeit eine zentrale Rolle bei uns. Wir sagen dir unsere tatsächliche Meinung und sind dabei unbestechlich. Hier erfährst du mehr dazu.

TechnikSurfer im Hintergrund

 
Startseite
Jobs
Unterstütze uns
Unsere Partner
Kontakt
Datenschutz
Impressum

© Copyright 2019, TechnikSurfer®
  Close Window

Loading, Please Wait!

This may take a second or two. Loading