NFC-Hack 31.08.2020, 09:48 Uhr

ETH Zürich hackt Visas "Kontaktlos zahlen"-Funktion

Mit einer "Man in the Middle"-Strategie hackte ein Forschungs-Team der ETH Zürich die NFC-Zahlfunktion von Visa und konnte dann nach belieben Einkaufen - ohne PIN.
(Quelle: shutterstock.com/Tony Stock)
Das kontaktlose Zahlen ohne PIN-Eingabe ist für einen Höchstbetrag von 40 Franken vorgesehen. Im Rahmen der Corona-Massnahmen wurde dies zeitweise auf 80 Franken erhöht. Allerdings sind diese Beträge nicht sakrosankt. Forscher der ETH Zürich zeigen, dass sich dies auch umgehen lässt.
Mit der sogenannten "Man in the Middle"-Methode schalten sich die Hacker zwischen das Bezahlterminal und die Visa-Karte und tricksen den NFC Chip aus. Konkret: Mittels zweier über WLAN miteinander verbundenen Smartphones. Das eine Phone simuliert die Karte, respektive die Bezahlfunktion. Auf dem anderen Handy läuft eine von den Hackern entwickelte App, die den Bezahlterminal simuliert. Mit einer minimalen Änderung im Datenstrom - verursacht durch diese App - kann de PIN-Prüfung umgangen werden. So konnten das Forscher-Team im Testszenario beliebig viele und beliebtig teure Waren kaufen, ohne den PIN jemals eingeben zu müssen.


Kommentare
Avatar
hhur
31.08.2020
Und dann muss das schnellstmöglich publik gemacht werden, damit irgendwelche Idioten dies nachvollziehen können, statt mit den Kartenbetreibern eine Lösung zu finden um dies zu verhindern👹

Avatar
slup
31.08.2020
Gefahr droht eigentlich nur, wenn die Karte geklaut wird. Dann kann der Verlust gross werden.

Avatar
malamba
31.08.2020
:alien:Für was braucht die ETH (das) Geld !

Avatar
karnickel
03.09.2020
@hhur Es ist bei solchen Entdeckungen üblich, unter Einhaltung von Behebungsfristen an die Öffentlichkeit zu gehen. Sicher hatte die ETH Visa vorab informiert. Die Frist ist so gewählt, dass danach auch ohne eine Veröffentlich davon ausgegangen werden muss, dass böse Leute die Lücke kennen können. - Es sei zusätzlich erwähnt, dass Bezahlvorgänge mit Kreditkarten auf relativ alten Technologien basieren und man immer davon ausgehen darf, dass es weitere Hacks, auch für andere Kartensysteme gibt. @slup Geklaut oder das Bezahlterminal manipuliert oder schlicht ausgewechselt wurde. Alles schon vorgekommen.