32C3: Sicherheitsforscher zeigen massive Lücke bei EC-Bezahlsystem

Ccc, Chaos Computer Club, Blinkenlights Bildquelle: Max Braun
Am Wochenende hat in Hamburg der Chaos Communication Congress (32C3) begonnen und gleich zu Beginn deckten zwei Berliner Sicherheitsforscher eine Lücke auf, die man als massiv beschreiben kann und die viele, wenn nicht sogar alle von uns betreffen könnte: nämlich eine Schwachstelle bei der EC-Karten-Zahlung.
Karsten Nohl und Fabian Bräunlein, zwei Sicherheitsexperten des Berliner Security-Unternehmens SRLabs, haben bereits vor Weihnachten erste Einblicke in diese EC-Sicherheitslücke gegeben, aufgrund der Tragweite machten sie am gestrigen Sonntag auf dem Hacker-Kongress 32C3 noch einmal näher darauf aufmerksam.

Nohl und Bräunlein demonstrierten auch live auf der Bühne ein derartiges Angriffsszenario: Sie zeigten das Auslesen einer PIN-Kombination und überwiesen zudem einen Betrag von 15 Euro an mobile Prepaid-Guthaben auf ein anderes Konto.

Verantwortlich dafür sind, wie man auch auf der Seite von SRLabs nachlesen kann, die Bezahl-Terminals, über die mittlerweile praktisch jeder Händler verfügt. Doch diese basieren auf proprietären Protokollen, die auf die 1990er-Jahre zurückreichen. Und diese haben in Sachen Sicherheit massive Unzulänglichkeiten. SRLabsDie Funktionsweise der von SRLabs aufgedeckten Lücke

ZVT und Poseidon

Das Hauptprotokoll in Deutschland heißt ZVT, es erlaubt Betrügern bei entsprechendem Fachwissen, verhältnismäßig einfach die Details des Bezahlvorgangs auszulesen. Schlimmer noch, so die Sicherheitsforscher, sei es aber, dass die PINs auch per Remote-Verbindung abgegriffen werden können. Das hängt unter anderem mit der kryptografischen Signatur (MAC) und dem Abspeichern des Keys in den Hardware Security Modules (HSMs) zusammen.

Ebenfalls eine Rolle in diesem Angriffsszenario spielt das vielfach eingesetzte Internet-Protokoll Poseidon, auch dieses hat eine schwerwiegende Authentifizierungslücke. Nohl und Bräunlein riefen die Händler und Payment-Anbieter auf, diesen Missstand schnellstmöglich zu beheben, betroffene Konsumenten sollten sich indes an ihre Bank wenden und etwaige Schäden zurückfordern. Ccc, Chaos Computer Club, Blinkenlights Ccc, Chaos Computer Club, Blinkenlights Max Braun
Diese Nachricht empfehlen
Kommentieren103
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:15 Uhr Microsoft Office 365 Home 5PCs/MACs - 1 Jahresabonnement - multilingual (Product Key Card ohne Datenträger) + WISO steuer:Sparbuch 2017 (für Steuerjahr 2016 / Frustfreie Verpackung)
Microsoft Office 365 Home 5PCs/MACs - 1 Jahresabonnement - multilingual (Product Key Card ohne Datenträger) + WISO steuer:Sparbuch 2017 (für Steuerjahr 2016 / Frustfreie Verpackung)
Original Amazon-Preis
97,98
Im Preisvergleich ab
?
Blitzangebot-Preis
79,98
Ersparnis zu Amazon 18% oder 18
Nur bei Amazon erhältlich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles

Tipp einsenden