32C3: Sicherheitsforscher zeigen massive Lücke bei EC-Bezahlsystem
Am Wochenende hat in Hamburg der Chaos Communication Congress (32C3) begonnen und gleich zu Beginn deckten zwei Berliner Sicherheitsforscher eine Lücke auf, die man als massiv beschreiben kann und die viele, wenn nicht sogar alle von uns betreffen könnte: nämlich eine Schwachstelle bei der EC-Karten-Zahlung.
Karsten Nohl und Fabian Bräunlein, zwei Sicherheitsexperten des Berliner Security-Unternehmens SRLabs, haben bereits vor Weihnachten erste Einblicke in diese EC-Sicherheitslücke gegeben, aufgrund der Tragweite machten sie am gestrigen Sonntag auf dem Hacker-Kongress 32C3 noch einmal näher darauf aufmerksam.
Nohl und Bräunlein demonstrierten auch live auf der Bühne ein derartiges Angriffsszenario: Sie zeigten das Auslesen einer PIN-Kombination und überwiesen zudem einen Betrag von 15 Euro an mobile Prepaid-Guthaben auf ein anderes Konto.
Verantwortlich dafür sind, wie man auch auf der Seite von SRLabs nachlesen kann, die Bezahl-Terminals, über die mittlerweile praktisch jeder Händler verfügt. Doch diese basieren auf proprietären Protokollen, die auf die 1990er-Jahre zurückreichen. Und diese haben in Sachen Sicherheit massive Unzulänglichkeiten.
Die Funktionsweise der von SRLabs aufgedeckten Lücke
Ebenfalls eine Rolle in diesem Angriffsszenario spielt das vielfach eingesetzte Internet-Protokoll Poseidon, auch dieses hat eine schwerwiegende Authentifizierungslücke. Nohl und Bräunlein riefen die Händler und Payment-Anbieter auf, diesen Missstand schnellstmöglich zu beheben, betroffene Konsumenten sollten sich indes an ihre Bank wenden und etwaige Schäden zurückfordern.
Nohl und Bräunlein demonstrierten auch live auf der Bühne ein derartiges Angriffsszenario: Sie zeigten das Auslesen einer PIN-Kombination und überwiesen zudem einen Betrag von 15 Euro an mobile Prepaid-Guthaben auf ein anderes Konto.
Verantwortlich dafür sind, wie man auch auf der Seite von SRLabs nachlesen kann, die Bezahl-Terminals, über die mittlerweile praktisch jeder Händler verfügt. Doch diese basieren auf proprietären Protokollen, die auf die 1990er-Jahre zurückreichen. Und diese haben in Sachen Sicherheit massive Unzulänglichkeiten.
Die Funktionsweise der von SRLabs aufgedeckten Lücke
ZVT und Poseidon
Das Hauptprotokoll in Deutschland heißt ZVT, es erlaubt Betrügern bei entsprechendem Fachwissen, verhältnismäßig einfach die Details des Bezahlvorgangs auszulesen. Schlimmer noch, so die Sicherheitsforscher, sei es aber, dass die PINs auch per Remote-Verbindung abgegriffen werden können. Das hängt unter anderem mit der kryptografischen Signatur (MAC) und dem Abspeichern des Keys in den Hardware Security Modules (HSMs) zusammen.Ebenfalls eine Rolle in diesem Angriffsszenario spielt das vielfach eingesetzte Internet-Protokoll Poseidon, auch dieses hat eine schwerwiegende Authentifizierungslücke. Nohl und Bräunlein riefen die Händler und Payment-Anbieter auf, diesen Missstand schnellstmöglich zu beheben, betroffene Konsumenten sollten sich indes an ihre Bank wenden und etwaige Schäden zurückfordern.
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Meist kommentierte Nachrichten
Forum
-
Wie kann ich die Untertitel einem Video hinzufügen?
System - Heute 07:59 Uhr -
DaVinci Resolve 21 Final wurde freigegeben
Ler-Khun - Gestern 17:17 Uhr -
Bayerns Digitalministerium bemüht sich um digitale Souveränität
Computer - Vorgestern 23:58 Uhr -
Neues Release: LibreOffice 26.2.4 ist da!
Ler-Khun - Vorgestern 22:47 Uhr -
Samba Version 4.24.3 ist freigegeben
Ler-Khun - 04.06. 23:57 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen