Wir sind es gewohnt, Sicherheitslücken zu erkennen, die sich auf unsere Systeme, Geräte und alle von uns verwendeten Tools auswirken können. Dies kann nicht nur das ordnungsgemäße Funktionieren, sondern auch unsere Privatsphäre gefährden. Heute wiederholen wir einen neuen Fehler, der es einem Angreifer ermöglicht Verwenden Sie eine Bankkarte ohne PIN . Wir werden erklären, woraus es besteht.
Ein Fehler ermöglicht die Verwendung von Karten ohne PIN
Wie bereits erwähnt, würde eine neue Sicherheitsanfälligkeit es einem möglichen Eindringling ermöglichen, Bankkarten zu verwenden, ohne dies tun zu müssen Geben Sie die PIN ein . Ein wichtiges Problem, das unsere Sicherheit und Privatsphäre logischerweise gefährdet. Wir wissen bereits, dass die Verwendung dieser Art von Karte zum Online-Bezahlen sehr präsent ist.
Dieser Fehler betrifft nach Angaben der Sicherheitsforscher, von denen wir uns einig sind, die EMV-Protokoll . Jedes Mal, wenn wir eine Zahlung mit Bankkarten (Kredit- oder Lastschrift) vornehmen, wird das EMV-Kommunikationsprotokoll zur Verarbeitung der Zahlungen verwendet. Dies wurde unter anderem von Europay, Mastercard und Visa entwickelt. Es wird für mehr als 9 Milliarden Karten weltweit verwendet.
Wie unter fast allen Umständen kann es jedoch zu Sicherheitslücken kommen. Drei Sicherheitsforscher haben herausgefunden, dass Fehler im EMV-Protokoll es einem Angreifer ermöglichen könnten, eine auszuführen Man-in-The-Middle-Angriff und damit betrügerische Transaktionen durchführen.
Zwei Sicherheitslücken gefunden
Zu diesem Zweck haben sie ein Modell verwendet, das eine reale Situation simuliert, an der die Maschine des Händlers, die Benutzerkarte und die Bank beteiligt sind. Diese Forscher konnten zwei Hauptschwachstellen finden. Zunächst entwickelten sie einen Proof-of-Concept Android App, die, wenn verwendet, um zu machen kontaktlose Zahlungen würde es dem Angreifer ermöglichen, ohne Verwendung eines PIN-Codes durchzukommen. Und wir wissen bereits, dass diese Zahlungsarten in letzter Zeit sehr beliebt geworden sind.
Dies ist aufgrund der möglich Mangel an Authentifizierung und Kryptographie wird in der Karteninhaber-Überprüfungsmethode verwendet. Dies ermöglicht es dem Angreifer, die Konfiguration an seine Bedürfnisse anzupassen. Zum Beispiel führten die Forscher auch eine so erfolgreiche Transaktion im Wert von fast 200 Euro durch, um sie in einem realen Geschäft mit ihren eigenen Karten zu testen.
Es gibt jedoch eine zweite Sicherheitsanfälligkeit, die es einem Angreifer ermöglichen würde, den Händler in die Irre zu führen, zu glauben, dass eine kontaktlose Offline-Transaktion vor Ort erfolgreich war, später jedoch abgelehnt wurde. Dies wäre mit einem möglich altes Visum oder MasterCard . In diesem Fall haben sie es natürlich nicht in der Realität bewiesen.
Letztendlich könnten diese beiden Sicherheitslücken die Verwendung von Bankkarten gefährden. Die Lösung wäre so einfach wie ein globales Upgrade von Terminalsystemen. Wieder einmal wird gezeigt, wie wichtig es ist, immer alles auf dem neuesten Stand zu halten, um mögliche Schwachstellen zu beheben.
