Samsung Pay mit bösem Bug

Samsung Pay (Bild: Cho Mu-hyun/ZDNet.com)

Samsungs Bezahldienst Samsung Pay hat eine massive Schwachstelle, wie ein Sicherheitsforscher herausgefunden hat. So können Sicherheitstokens vorhersagt werden und damit auf Kosten anderer Nutzer eingekauft werden.

Bei Samsung Pay kommt die Technik Magnetic Secure Transmission (MST) zum Einsatz, die Samsung durch die Übernahme von LoopPay integrieren konnte. Damit können Smartphones berührungslos mit einem klassischen Magnetstreifenlesegerät kommunizieren. Die im Smartphone hinterlegten Kreditkartendaten des Anwenders werden in sogenannte Tokens umgewandelt, die dann an das Lesegerät übertragen werden. So muss keine Kreditkarte in das Lesegerät gesteckt werden.

Der Forscher Salvador Mendoza fand jedoch heraus, dass sich diese Tokens vorhersagen lassen. Das Verfahren zur Erstellung der Tokens werde schwächer, nachdem die Samsung-Pay-App den ersten Token für eine spezifische Kreditkarte generiert habe. Die Wahrscheinlichkeit, künftige Tokens zu erraten, nehme von daher zu.

Ein Angreifer wiederum könne die Tokens von einem Smartphone stehlen und anschließend ohne Einschränkungen auf einem anderen Gerät einsetzen, so der Forscher weiter. Bei einem Test habe er einen eigenen Token an einen Freund in Mexiko geschickt, der dort mit entsprechender Hardware seinen Einkauf bezahlt habe – obwohl Samsung Pay in Mexiko noch gar nicht verfügbar sei.

Die Tokens selbst stiehlt Mendoza mit einer speziellen Vorrichtung, die er an seinem Unterarm befestigt und die wie ein MST-Lesegerät funktioniert. Nimmt er das Smartphone eines Opfers in die Hand, fängt das Gerät den Token ab und schickt ihn automatisch per E-Mail an seine Adresse. So lässt sich der Token auch auf ein anderes Telefon übertragen. Die Vorrichtung lässt sich Mendoza zufolge aber auch an einem legitimen Lesegerät im Einzelhandel anbringen und funktioniert dann ähnlich wie ein traditioneller EC-Karten-Skimmer.

Sein Hack funktioniere mit allen gängigen Kreditkarten, Debitkarten und auch Prepaidkarten. Gutscheinkarten seien jedoch nicht anfällig, da Samsung hier einen Barcode erzeuge, der an der Kasse gescannt werde, ergänzte der Forscher.

„Samsung Pay ist mit den fortschrittlichsten Sicherheitsfunktionen ausgestattet, wodurch sichergestellt wird, dass alle Zahlungsdaten verschlüsselt werden“, teilte ein Samsung-Sprecher mit. „Sollte es jemals eine mögliche Schwachstelle geben, werden wir sie sofort untersuchen und das Problem beheben.“

Tags :Quellen:ZDNet.comVia:Mit Material von Stefan Beiersmann, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising