Visa EMV-Karten: PIN-Autorisierung bei NFC-Pay ausgehebelt

[English]Zahlen mit einer Kreditkarte von Visa über NFC ist normalerweise ab bestimmten Beträgen per PIN abgesichert. Forschern ist es nun aber gelungen, Visa EMC-Karten über NFC-Verbindungen zu knacken, so dass Zahlungen ohne Autorisierung per PIN möglich waren. Hier ein kurzer Überblick, was Sache ist.


Anzeige

Sicherheitsforscher der ETH-Zürich beschreiben den Angriff auf den EMV-Zahlungsstandard im Dokument The EMV Standard: Break, Fix, Verify und haben das Ganze an Visas Kreditkarten mit NFC-Pay demonstriert.

Der EMV Standard

EMV ist der weltweite benutzte Standard zur Bezahlung mit Chipkarten. Benannt wurde der Mitte der 1990er Jahre entwickelte Standard nach seinen Gründern Europay, Mastercard und Visa. Im Dezember 2019 verwendeten mehr als 80% aller Karten-Transaktionen weltweit EMV, in vielen europäischen Ländern wurden sogar bis zu 98% erreicht. Banken haben, aufgrund der Verlagerung der Haftung, einen starken Anreiz zur Einführung von EMV. Wenn eine strittige Transaktion durch eine PIN autorisiert wurde, haftet der Verbraucher. Wenn eine Papierunterschrift zur Autorisierung der Transaktion benutzt wurde, haftet die Bank.

Neben der Haftungsverlagerung wird die globale Akzeptanz von EMV-Karten auch auf deren behauptete Sicherheit zurückgeführt. Leider ist es mit der Sicherheit so ein Problem, denn diese wurde in den letzten Jahren mehrfach in Frage gestellt. Es gab Man-in-the-Middle (MITM)-Angriffe, kopierte EMV-Karten und andere erfolgreiche Angriffe.

Hack der Visa PIN beim NFC-Payment

David Basin, Ralf Sasse und Jorge Toro von der ETH Zürich konnten nun zeigen, wie einfach sich die PIN-Abfrage zur Autorisierung von NFC-Zahlungen bei Visa-Karten aushebeln lässt. Damit sind Zahlungen auch oberhalb der Obergrenze, ab der bei EMV-Karten eine PIN gefordert wird, ohne PIN-Eingabe möglich. Um den Angriff durchführen zu können, müssen die Kriminellen Zugang zur EMV-Karte haben. Dies kann eine gestohlene oder verlorene EMV-Karte sein. Es könnte aber auch ein NFC-fähiges Smartphone benutzt werden, welches an die EMV-Karte gehalten wird.

Die Sicherheitsforscher beschreiben ihren Angriff neben dem obigen PDF-Dokument in diesem Beitrag auf Github. Um zu zeigen, wie einfach es ist, die gefundenen Schwachstellen auszunutzen, haben die Forscher eine Proof-of-Concept-Android-Anwendung entwickelt. Die Anwendung implementiert Man-in-the-Middle-Angriffe auf einer Relay-Angriffsarchitektur (siehe folgendes Schema). Die Android-App der Forscher erfordert weder Root-Privilegien noch irgendwelche ausgefallenen Hacks auf Android, und wurde erfolgreich auf Pixel- und Huawei-Geräten eingesetzt.

Angriff auf VISA EMV-Karten
(Angriff auf VISA EMV-Karten)

Die äußersten Geräte sind das reale Zahlungsterminal (links) und die kontaktlose Karte des Opfers (rechts). Das Telefon in der Nähe des Zahlungsterminals ist das Kartenemulationsgerät des Angreifers und das Telefon in der Nähe der Karte des Opfers ist das POS-Emulationsgerät des Angreifers. Die Geräte des Angreifers kommunizieren untereinander über WiFi und mit dem Terminal und der Karte über NFC.

Mit dieser Konstellation waren die Sicherheitsforscher in der Lage, Zahlungen über NFC ohne PIN-Eingabe mit Visa-Karten zu autorisieren, obwohl die Beträge über dem Zahlungslimit lagen, ab dem eine PIN-Eingabe erforderlich ist (in der Schweiz sind die aktuell 80 Franken). Der Angriff besteht in der Modifikation eines kartenbasierten Datenobjekts – der Card Transaction Qualifier – vor der Übergabe an das Terminal. Die Modifikation weist das Terminal an, dass:

  • eine PIN-Überprüfung nicht erforderlich ist, und
  • der Karteninhaber auf dem Gerät des Verbrauchers (z.B. einem Smartphone) verifiziert wurde

Dieser Angriff ermöglicht es Kriminellen, mit der kontaktlosen NFC-Karte eines Opfers Käufe über das PIN-Lose-Limit hinaus abzuschließen, ohne die PIN der Karte zu kennen. Nachfolgendes YouTube-Video demonstriert diesen Angriff. Technische Details finden sich im oben verlinkten PDF-Dokument.


Anzeige

(Quelle: YouTube)

heise weist in diesem Beitrag darauf hin, dass es bereits vor einem Jahr Angriffe auf Kreditkarten gab, bei denen diese durch einen aufgelöteten Chip manipuliert wurden. Es gäbe einen einfachen Fix zur Behebung der Schwachstelle, ohne dass die Karten ausgetauscht werden müssen. Der Vorfall zeigt aber, wie unsicher das ganze Zahlungswesen ist und dann die Haftung einseitig von den Banken durch Zuteilung einer (aushebelbaren) PIN auf die Verbraucher verlagert wurde.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Hack, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Visa EMV-Karten: PIN-Autorisierung bei NFC-Pay ausgehebelt

  1. Anonymous sagt:

    Hab den ganzen Unsinn mit dem NFC der Karten abgeschaltet, geht ja, Gott sei dank noch am Geldautomaten.
    Auf dem Handy ist auch nix von der Bank, noch geht ja alles ohne den ganzen Unsinn.
    Und mit Karte kann man ja trotzdem zahlen.

  2. Herr IngoW sagt:

    Ich habe das mit dem NFC-Funk zum Bezahlen bei unseren Karten ausgeschaltet, geht ja noch am Geldautomat.
    Auf dem Handy ist auch nichts von der Bank, zu unsicher.
    Man kann auch ohne den Unsinn mit der Karte bezahlen.
    Eine Frechheit ist das bei Beträgen bist (ich glaub) 20€ keine PIN eingegeben werden muss, geht gar nicht! Wenn die Karte verloren geht, kann jeder damit ständig bis 20€ einkaufen, bis man merkt, das die Karte weg ist und sie sperrt.

    • Michael Bickel sagt:

      das Limit ist jetzt glaube ich meisten 50 Euro, aber alle x-mal muss trotzdem die PIN eingegeben werden. Eigentlich sollte es wohl jede 5 Zahlung sein, aber bei mir passiert dies eher unregelmäßig, sodass ich den Abfragezyklus nicht ganz nachvollziehen kann. Aber so oder so eine PIN-Abfrage erfolgt bei meiner Karte öfters, auch unabhängig vom Betrag. Endlos ohne PIN ginge also nicht.

  3. Anonymous sagt:

    Und dieses Teufelszeug Online Banking! Habe ich auch nicht! Geht ja auch noch ohne zum Glück. Lieber warte ich länger auf meine Ware und bezahle dafür, dass Mitarbeiter bei der Bank meine Überweisung ins System eingeben. Sicher ist sicher!

  4. Onkel Hotte sagt:

    Hier hat sich wohl dreimal der gleiche Typ ausgelassen. Ich nutze NFC und find's prima.

    • Michael Bickel sagt:

      … wobei man es eher nicht als wirklich kontaktlos bezeichnen kann, wenn man trotzdem sehr häufig die PIN eingeben muss. Verschont bleibt also nur der oder die Kassierer(in) vom Bargeld-Austausch. Sicherheits-technisch macht PIN aber Sinn, im Hinblick auf Hygiene eher nicht.

      Man bleibt aber vom Abzählen der kaum unterscheidbaren kleinen Münzen verschont, die irgendwie immer mehr werden im Geldbeutel. Von daher ist Kartenzahlung sicher ein Fortschritt, der auch schneller geht als das Abzählen von Kleingeld.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.