Den PIN-Code überlisten

Kreditkarten, mit denen kontaktlos bezahlt werden kann, sind sehr beliebt. Mit ihnen können an der Kasse kleinere Beträge einfach und schnell beglichen werden. Gleichzeitig gelten sie als sicher, weil grössere Summen nur nach Eingabe eines Sicherheitscodes abgebucht werden können.

Die Basis für die meisten dieser Transaktionen ist der EMV-Standard, der bei weltweit über neun Milliarden Karten zur Anwendung kommt. Entwickelt wurde dieser Standard in den 1990er-Jahren von den drei grossen Unternehmen Europay, Mastercard und Visa (daher die Bezeichnung EMV). Obwohl seither mehrmals überarbeitet, weist das komplexe Regelwerk verschiedene Schwachstellen auf, die ausgenutzt werden können.

Gezielt nach Schwachstellen gefahndet

Nachdem bereits andere Sicherheitsspezialisten Fehler im Standard entdeckt haben, berichten nun Wissenschaftler der ETH Zürich von einer weiteren gravierenden Sicherheitslücke. Die ETH-Forscher werden ihre Arbeit, die zurzeit als Vorabdruck vorliegt, am IEEE Symposium on Security and Privacy 2021 präsentieren.

In einem ersten Schritt haben David Basin, Professor für Informationssicherheit, Ralf Sasse, wissenschaftlicher Mitarbeiter am Departement Informatik, und Jorge Toro-Pozo, Postdoktorand in Basins Gruppe, mit einem eigens entwickelten Modell die zentralen Elemente des EMV-Standards unter die Lupe genommen. Dabei ist ihnen aufgefallen, dass es im Protokoll, das vom Kreditkartenunternehmen Visa eingesetzt wird, eine kritische Lücke gibt.

Die erwähnte Schwachstelle erlaubt es Betrügern, bei Karten, die verloren gingen oder gestohlen wurden, Beträge abzubuchen, die eigentlich mit einem PIN-Code bestätigt werden müssten. «Der PIN-Code ist bei diesen Karten im Grunde genommen nutzlos», bringt es Toro auf den Punkt. Da andere Unternehmen wie Mastercard, American Express oder JCB ein anderes Protokoll verwenden als Visa, sind diese Karten von der erwähnten Schwachstelle nicht betroffen. Möglicherweise besteht die Lücke jedoch ebenfalls bei Karten von Discover und UnionPay, die ein vergleichbares Protokoll verwenden wie Visa.

Den rechtmässigen Besitz vortäuschen

Die Forscher konnten demonstrieren, dass die Schwachstelle tatsächlich in der Praxis ausgenutzt werden kann, auch wenn es dazu etwas Aufwand braucht. Sie haben dazu eine Android-App geschrieben, die sie auf zwei NFC-fähigen Handys installiert haben. Die beide Geräte sind also in der Lage, Daten vom Chip auf der Kreditkarte zu lesen und mit Bezahlterminals Informationen auszutauschen. Um diese App zu installieren, mussten die Forscher übrigens keine speziellen Sicherheitshürden im Android-Betriebssystem überwinden.

Will man nun unbefugt Geld von einer fremden Kreditkarte abbuchen, muss man zunächst mit dem ersten Handy die notwendigen Daten von der Kreditkarte einlesen und sie an das zweite Handy übermitteln. Mit dem zweiten Handy bucht man dann gleichzeitig an der Kasse den gewünschten Betrag ab, so wie das heute viele Kreditkartenbesitzer machen. Die App täuscht dabei den rechtmässigen Besitz der Kreditkarte vor, so dass der Verkäufer nicht bemerkt, dass der Käufer nicht berechtigt ist, die Transaktion zu tätigen. Entscheidend ist, dass die App das Sicherheitssystem der Karte überlistet: Obwohl die Summe über der Limite liegt, die man ohne PIN bezahlen kann, wird kein Code abgefragt.

Praxistest bestanden

Mit ihren eigenen Kreditkarten konnten die Forscher in verschiedenen Geschäften zeigen, dass das Betrugssystem tatsächlich funktioniert. «Der Betrug klappt mit Debit- und Kreditkarten, die in verschiedenen Ländern auf unterschiedliche Währungen ausgestellt wurden», hält Toro fest. Die Forscher haben Visa bereits über die Schwachstelle informiert – und auch eine konkrete Lösung für das Problem vorgeschlagen. «Es braucht drei Ergänzungen im Protokoll, die beim nächsten Softwareupdate auf den Bezahlterminals installiert werden könnten», erklärt Toro. «Der Aufwand dafür wäre gering. Die Karten müssen dafür nicht ersetzt werden, und alle Ergänzungen sind mit dem EMV-Standard kompatibel.»