DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

«PIN nutzlos»: ETH-Forscher entdecken Sicherheitslücke bei Kreditkarten

01.09.2020, 11:3601.09.2020, 22:16
ETH findet ein Schlupfloch bei Kreditkarten.
ETH findet ein Schlupfloch bei Kreditkarten.Bild: sda

Eine Schwachstelle im Protokoll des Kreditkartenunternehmens Visa erlaubt Betrügern, Beträge von Karten abzubuchen, die eigentlich mit einem PIN-​Code bestätigt werden müssten. Das teilte die ETH Zürich am Dienstag mit.

«Der PIN-​Code ist bei diesen Karten im Grunde genommen nutzlos», sagte der Informatiker Jorge Toro-​Pozo gemäss der Mitteilung. Da andere Unternehmen wie Mastercard, American Express oder JCB ein anderes Protokoll verwenden als Visa, sind diese Karten von der identifizierten Schwachstelle nicht betroffen. Möglicherweise besteht die Lücke aber auch bei Karten von Discover und UnionPay.

Die Basis für das bargeldlose Bezahlen ist der EMV-​Standard, der bei weltweit über neun Milliarden Karten zur Anwendung kommt. Diesen haben die Wissenschaftler unter die Lupe genommen und sind im Protokoll, das vom Kreditkartenunternehmen Visa eingesetzt wird, auf die Sicherheitslücke gestossen. Die Resultate der Arbeit wurden auf den Preprint-Server «arXiv» hochgeladen und noch nicht von anderen Wissenschaftlern begutachtet.

App überlistet Sicherheitssystem

Die ETH-Forschenden machten mit ihren eigenen Kreditkarten die Probe aufs Exempel: Der vermeintliche Betrug gelang ihnen in verschiedenen Geschäften. Dafür programmierten sie eine Android-App, die das Sicherheitssystem der Karte überlistet. Die App ermöglicht es Handys, vom Chip auf der Kreditkarte zu lesen und mit Bezahlterminals Informationen auszutauschen.

Um Geld von der Kreditkarte abzubuchen, lasen die Forschenden zunächst mit einem ersten Handy Daten von der Karte ein und übermittelten diese an ein zweites Handy. Mit diesem buchten sie dann den gewünschten Betrag an der Kasse ab. Das Android-Betriebssystem wies übrigens keine speziellen Sicherheitshürden auf, um die neu entwickelte App zu installieren.

Die Forschenden haben Visa bereits über die Sicherheitslücke informiert. Diese zu schliessen wäre laut ihnen nur mit geringem Aufwand verbunden: Drei Ergänzungen im Protokoll würden beim nächsten Softwareupdate auf den Bezahlterminals genügen. Die Karten müssten dafür nicht ersetzt werden, sagte Toro. (aeg/sda)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

So manipulieren Karten unser Kaufverhalten

Video: srf

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

29 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Der Buchstabe I (Zusammenhang wie Duschvorhang)
01.09.2020 14:19registriert Januar 2020
Bei irgendeinem Online-Account:

Gross- und Kleinbuchstaben, Zahlen, Sonderzeichen, 36 Stellen, das Blut einer Jungfrau, das Haar eines Einhorns.

Bei der Kreditkarte:

Zugriff auf dein gesamtes Vermögen Easy Brudi, vier Zahlen.
1136
Melden
Zum Kommentar
29
Mehr Geld für Aktionäre: UBS will Dividende um 10 Prozent erhöhen

Die Grossbank UBS stellt ihren Aktionären wachsende Ausschüttungen in Aussicht. Als Dividende für das Geschäftsjahr 2022 etwa werde man 0.55 US-Dollar pro Aktie vorschlagen, teilte die UBS am Dienstag mit. Im Vorjahr hatte es 0.50 Dollar je Aktie gegeben. Die Rückstellung hierfür werde entsprechend angepasst, erklärte die Bank.

Zur Story