Betrügen mit Samsung Pay

SamsungPaySamsung Pay nutzt eine Technik namens Magnetic Secure Transmission (MST), die das koreanische Unternehmen durch die Übernahme von LoopPay gekauft hat. Sie versetzt ein Smartphone in die Lage, berührungslos mit klassischen Magnetstreifenlesegeräten zu kommunizieren.

Die in dem Smartphone hinterlegten Kreditkartendaten werden dabei in Token umgewandelt, die dann zum Lesegerät übertragen werden, anstatt die Kreditkarte direkt in das Lesegerät stecken zu müssen.

Dummerweise fand der Forscher Salvador Mendoza aber heraus, dass sich diese Tokens recht gut vorhersagen lassen.

Das Verfahren zur Erstellung der Tokens zeige sich schwächer, nachdem die Samsung-Pay-App den ersten Token für eine spezifische Kreditkarte erzeugt habe. Deshalb nehme die Wahrscheinlichkeit, künftige Tokens zu erraten mit der Zeit zu.

Angreifer wiederum könnten die Tokens von einem Smartphone stehlen und danach ohne jede Einschränkungen auf einem anderen Gerät einsetzen, erklärte der Forscher weiter.

Zum Test habe er einen eigenen Token an einen Freund in Mexiko geschickt, der dort mit der entsprechenden Hardware seinen Einkauf bezahlt habe – obwohl Samsung Pay in Mexiko ja eigentlich noch gar nicht verfügbar sei.

Dieser Hack funktioniere mit allen gängigen Kreditkarten, Debitkarten und auch mit Prepaidkarten. Gutscheinkarten seien aber nicht anfällig dafür, weil Samsung bei denen einen Barcode erzeuge, der an der Kasse gescannt werde, ergänzte der Forscher noch.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, Mobilgeräte, News, Programmierung, Sicherheit, Soziales, Wirtschaft abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.