Zum zweiten Mal Sicherheitslücke bei Kreditkarten entdeckt

Das kontaktlose Bezahlen mit Kredit- und Debitkarten geht schnell und einfach – und bietet sich in Pandemiezeiten besonders an. Ab einem bestimmten Betrag, in der Schweiz meist 80 Franken, ist zur Sicherheit die Eingabe eines PIN-Codes fällig. Zumindest in der Theorie. Wie drei Forscher der Information Security Group der ETH Zürich zeigen konnten, lässt sich diese Sicherheitsschranke bei bestimmten Karten jedoch überlisten. Im Sommer 2020 dokumentierten sie erstmals am Beispiel von Visa-Karten, dass sich der PIN-Code überwinden lässt (siehe ETH-News vom 1.9.2020). Nun geben die Forscher bekannt, dass das auch bei anderen Typen von Bezahlkarten, namentlich Mastercard und Maestro, möglich sei.

Die von den Forschern genutzte Methode orientiert sich unter anderem am «man-in-the-middle»-Prinzip. Dabei manipuliert der Angreifer den Datenaustausch zwischen zwei Kommunikationspartnern, in diesem Fall zwischen Karte und Karten-Terminal. Die Forscher brauchten dafür eine eigens kreierte Android-App und zwei NFC-fähige Mobiltelefone. Die App signalisierte dem Karten-Terminal in unwahrer Weise, dass erstens kein PIN nötig sei, und dass zweitens der Karteninhaber verifiziert wurde. In einem ersten Schritt funktionierte die Methode nur bei Visa-Karten, da andere Anbieter ein anderes Protokoll verwenden (ein Protokoll regelt die Datenübertragung).

Sicherheitsschranke doppelt überlistet

Die Idee, die der zweiten erfolgreichen PIN-Code-Überlistung zugrundliegt, wirkt auf den ersten Blick simpel: «Unsere Methode lässt den Terminal annehmen, dass eine Mastercard-Karte eine VISA-Karte sei», erzählt Jorge Toro, Mitarbeiter bei der Professur für Informationssicherheit und einer der Autoren des Papers. Das sei in der Realität deutlich komplexer als es klingt, fügt der Informatiker an. Zwei Sitzungen müssen gleichzeitig laufen, damit es gelingt. Mit dem Karten-Terminal wird eine Visa-Transaktion durchgeführt, während mit der Karte eine Mastercard-Transaktion läuft. Die Forscher wendeten diese Methode bei zwei Mastercard-Kreditkarten sowie zwei Maestro-Debitkarten von vier verschiedenen Banken an.

Die Forscher haben umgehend nach ihrer Entdeckung mit Mastercard Kontakt aufgenommen. Sie konnten auch experimentell nachweisen, dass die von Mastercard getroffenen Vorkehrungen wirksam sind. «Der Austausch mit der Firma war angenehm und spannend», erzählt Jorge Toro. Mastercard passte die betreffenden Sicherheitsvorkehrungen an und bat die Forscher, die Attacke erneut zu probieren. Diesmal scheiterte sie. Das Paper mit der genauen Beschreibung der Methode werden die Forscher im August am Symposium «USENIX Security ‘21» vorstellen.

EMV-Standard als Fehlerquelle

Die geschilderten Sicherheitslücken bei kontaktlosen Bezahlkarten hängen vor allem mit dem sogenannten EMV-Standard zusammen, einem internationalen Protokollstandard, der diesen Karten zugrundliegt. Logische Fehler in diesem Regelwerk sind schwer auffindbar, nur schon wegen seiner schieren Länge von über 2'000 Seiten. Die ETH-Forscher betonen auf ihrer Projektwebsite, dass solche Systeme vermehrt automatisch geprüft werden müssen, da sie für Menschen zu komplex seien.