Britische Forscher weisen auf NFC-Lücke bei Visa-Kreditkarten hin

Forscher der Newcastle University haben eine Methode entdeckt, wie sich das vorgegebene Limit von Visa-Kreditkarten beim kontaktlosen Bezahlen via NFC umgehen lässt. Wird die Transaktion in einer ausländischen Währung getätigt, sind auch höhere Abhebungsbeträge bis zu einem Wert von 999.999,99 möglich. Theoretisch könnte ein Dieb auf diese Weise mit einer gestohlenen Visa-Karte ohne PIN oder Unterschrift Zahlungen in dieser Höhe durchführen.

Die für das kontaktlose Bezahlen geeigneten Visa-Karten verfügen über einen Cryptoprozessor und einen RFID-Chip, der das Einschieben in ein Lesegerät überflüssig macht. Für europäische Debitkarten gilt bei Kontaktlos-Zahlungen generell ein festes Limit für Transaktionen. Dieses beträgt in Deutschland 25 Euro, in Großbritannien 20 Euro und in Irland 15 Euro. Für höhere Beträgt ist eine PIN oder Unterschrift erforderlich. In den USA, wo Visa die Technik unter dem Namen payWave vermarktet, wird das Limit zur Nutzung ohne PIN hingegen vom jeweiligen Händler bestimmt.

Laut den britischen Sicherheitsforschern wird die Obergrenze nur in der nativen Währung des Käufers geprüft und jeder Betrag bis zu 999.999,99 einer Fremdwährung akzeptiert. Visa zufolge müssen Käufer aber regelmäßig eine PIN eingeben, auch wenn der Kaufbetrag unter diesem Limit liegt.

Gegenüber der BBC erklärte Visa Europe, dass die Forscher „nicht die mehreren eingerichteten Sicherheitsmaßnahmen berücksichtigt“ hätten und dass es sehr schwer sei, „diese Art Transaktionen außerhalb von Laborbedingungen durchzuführen“. Das Team um Martin Emms verteidigt jedoch den Wert seiner Forschung.

Bei einer Demonstration für die BBC verwendete Emms ein Bezahlterminal-Programm auf einem Android-Smartphone. Weil Währung und Wert in dem kontaktlosen Lesegerät eingegeben werden müssen, erscheint es aber unwahrscheinlich, dass sich der beschriebene Angriff in einem Ladengeschäft durchführen lässt – außer das Terminal wurde zuvor manipuliert.

Emms hatte schon zuvor auf Sicherheitslücken beim kontaktlosen Bezahlen mit Bank- und Kreditkarten hingewiesen. Im Mai 2013 wies er nach, dass einige Funk-Bezahlterminals, die auch kontaktbasierte Chip- und PIN-Karten akzeptieren, Kontaktloskarten in der Nähe auslesen können, wenn der Käufer eigentlich mit einer herkömmlichen Karte bezahlen will. Auf der Website von Visa Europe heißt es mittlerweile dazu, dass Sicherheitsmaßnahmen solche und ähnliche Fehler verhindern.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de