Fehler in Samsung Pay erlaubt Zahlungsbetrug

Ein Sicherheitsforscher hat eine Schwachstelle in Samsungs Bezahldienst Samsung Pay entdeckt. Demnach ist es unter Umständen möglich, Sicherheitstokens vorhersagen. Auf einem anderen Smartphone eingesetzt könnte ein Dritter mit fremden Tokens und damit auf Kosten eines anderen seine eigenen Einkäufe bezahlen.

Samsung Pay basiert auf einer Technik namens Magnetic Secure Transmission (MST), die das koreanische Unternehmen zusammen mit LoopPay gekauft hat. Sie erlaubt es einem Smartphone, berührungslos mit einem klassischen Magnetstreifenlesegerät zu kommunizieren. Die im Smartphone hinterlegten Kreditkartendaten werden in Tokens umgewandelt, die dann an das Lesegerät übertragen werden – statt die Kreditkarte in das Lesegerät zu stecken.

Der Forscher Salvador Mendoza fand jedoch heraus, dass sich diese Tokens vorhersagen lassen. Das Verfahren zur Erstellung der Tokens werde schwächer, nachdem die Samsung-Pay-App den ersten Token für eine spezifische Kreditkarte generiert habe. Die Wahrscheinlichkeit, künftige Tokens zu erraten, nehme von daher zu.

Ein Angreifer wiederum könne die Tokens von einem Smartphone stehlen und anschließend ohne Einschränkungen auf einem anderen Gerät einsetzen, so der Forscher weiter. Bei einem Test habe er einen eigenen Token an einen Freund in Mexiko geschickt, der dort mit entsprechender Hardware seinen Einkauf bezahlt habe – obwohl Samsung Pay in Mexiko noch gar nicht verfügbar sei.

Die Tokens selbst stiehlt Mendoza mit einer speziellen Vorrichtung, die er an seinem Unterarm befestigt und die wie ein MST-Lesegerät funktioniert. Nimmt er das Smartphone eines Opfers in die Hand, fängt das Gerät den Token ab und schickt ihn automatisch per E-Mail an seine Adresse. So lässt sich der Token auch auf ein anderes Telefon übertragen. Die Vorrichtung lässt sich Mendoza zufolge aber auch an einem legitimen Lesegerät im Einzelhandel anbringen und funktioniert dann ähnlich wie ein traditioneller EC-Karten-Skimmer.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Sein Hack funktioniere mit allen gängigen Kreditkarten, Debitkarten und auch Prepaidkarten. Gutscheinkarten seien jedoch nicht anfällig, da Samsung hier einen Barcode erzeuge, der an der Kasse gescannt werde, ergänzte der Forscher.

„Samsung Pay ist mit den fortschrittlichsten Sicherheitsfunktionen ausgestattet, wodurch sichergestellt wird, dass alle Zahlungsdaten verschlüsselt werden“, teilte ein Samsung-Sprecher mit. „Sollte es jemals eine mögliche Schwachstelle geben, werden wir sie sofort untersuchen und das Problem beheben.“

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

10 Minuten ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago