Categories: Cybersicherheit

Samsung Pay aufgrund vorhersehbarer Sicherheits-Token angreifbar

Der Sicherheitsforscher Salvador Mendoza hat eine Möglichkeit, gefunden, wie Kriminelle mit Samsungs Bezahldienst Samsung Pay im Namen eines Dritten bezahlen könnten. Möglich ist das durch eine Schachstelle, aufgrund der die von der Bezahl-App generierten Sicherheitstoken vorhersagbar sind. Dadurch lasen sich die auch auf einem anderen Smartphone verwenden und damit Einkäufe mit einem anderen Konto bezahlen.

Samsung Pay basiert auf der Magnetic Secure Transmission (MST) gennanten Technik, die das koreanische Unternehmen durch die Übernahme von LoopPay vor rund eineinhalb Jahren gekauft hat. Sie ermöglicht es einem Smartphone, mit einem klassischen Magnetstreifenlesegerät berührungslos zu kommunizieren. Dazu werden die im Smartphone hinterlegten Kreditkartendaten in Token umgewandelt, die dann an das Lesegerät übertragen werden.

Mendoza fand jedoch heraus, dass diese Token vorhersagbar sind. Voraussetzung ist es lediglich, das erste Token für eine spezifische Kreditkarte zu kennen. Ein Angreifer könne die Token von einem Smartphone stehlen und anschließend ohne Einschränkungen auf einem anderen Gerät verwenden, so der Forscher. Bei einem Test habe er einen eigenen Token an einen Freund in Mexiko geschickt, der dort mit entsprechender Hardware seinen Einkauf bezahlt habe, obwohl Samsung Pay in Mexiko offiziell noch gar nicht verfügbar ist.

Die Token lassen sich laut Mendoza mit einer speziellen Vorrichtung stehlen, die wie ein MST-Lesegerät funktioniert und die sich am Unterarm befestigen lässt. Nimmt er ein Smartphone in die Hand, fängt das Gerät den Token ab und versendet ihn per E-Mail an eine zuvor definierte Adresse. So lässt sich der Token auch auf ein anderes Telefon übertragen. Die Vorrichtung könnte Mendoza zufolge aber auch an einem Lesegerät im Einzelhandel angebracht werden. Sie funktioniert dann ähnlich wie ein EC-Karten-Skimmer.

Der Hack funktioniere mit allen gängigen Kreditkarten, Debitkarten und auch Prepaidkarten. Gutscheinkarten seien weniger anfällig, da Samsung hier einen Barcode erzeuge, der an der Kasse gescannt werden muss, so der Forscher.

“Samsung Pay ist mit den fortschrittlichsten Sicherheitsfunktionen ausgestattet, wodurch sichergestellt wird, dass alle Zahlungsdaten verschlüsselt werden”, teilte ein Samsung-Sprecher mit. “Sollte es jemals eine mögliche Schwachstelle geben, werden wir sie sofort untersuchen und das Problem beheben.”



[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

4 Tagen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

4 Tagen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

6 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

6 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

1 Woche ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

1 Woche ago