Forscher knacken Kreditkarten
Forscher der University of Cambridge wollen bei Kreditkarten einen grundlegenden Fehler im EMV-Standard gefunden haben. Dieser Standard sichert die Abwicklung der Kartenzahlung. Der Fehler ermöglicht es, die Kommunikation zwischen einer Karte und einem Zahlungsterminal abzufangen und zu verändern. Damit kann zum Beispiel die Eingabe einer gültigen PIN-Nummer vorgetäuscht werden.
Professor Ross Anderson von der Cambridge University erklärte gegenüber CBS Interactive, die Absicherung per Chip und PIN sei künftig bedeutungslos. Er und seine Kollegen hätten Transaktionen durchgeführt, ohne eine korrekte PIN in ein Kartenlesegerät einzugeben. Der Test habe mit Kreditkarten von sechs unterschiedlichen Geldinstituten funktioniert, darunter Barclaycard, Bank of Scotland und HSBC.
Der Fehler im EMV-Protokoll beruhe darauf, dass Karte und Terminal bei der Gültigkeitsprüfung mehrdeutige Daten erzeugten, die die Bank als gültig akzeptiere, so die Forscher. “Dadurch glaubt das Terminal, dass die korrekte PIN eingegeben wurde – und die Karte glaubt, dass die Zahlung mit einer Unterschrift autorisiert wurde”, sagte Saar Drimer, einer der Forscher der Universität Cambridge, gegenüber der BBC.
Mark Bowerman, Sprecher der UK Payments Administration, erklärte: “Wir nehmen den Bericht sehr ernst. Trotzdem widersprechen wir der Behauptung, dass die Authentifizierung per Chip und PIN geknackt wurde.” Bisher gebe es keine Beweise, dass das von den Forschern entwickelte Verfahren für Kreditkartenbetrug in Großbritannien benutzt worden sei.
Laut BBC arbeiten einige Banken an einem Patch für die Schwachstelle. “Es gibt Möglichkeiten, den Chip und das PIN-System zu aktualisieren, damit diese Angriffe bei den meisten Transaktionen nicht mehr funktionieren”, sagt Sicherheitsforscher Steven Murdoch, der mit Anderson und Drimer an der Untersuchung mitgewirkt hat.
Die BBC berichtet in einem Video über die Manipulation der Kreditkarten.