Sicherheitslücke bei EC-Kartenzahlung

Quelle: tagesschau.de / heise.de

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 840
Dabei seit: 12 / 2004
Betreff:

Sicherheitslücke bei EC-Kartenzahlung

 · 
Gepostet: 22.12.2015 - 12:09 Uhr  ·  #1
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 7444
Dabei seit: 08 / 2002
Betreff:

Re: Sicherheitslücke bei EC-Kartenzahlung

 · 
Gepostet: 23.12.2015 - 08:31 Uhr  ·  #2
Ich hab es nur überflogen, aber wenn ich das richtig sehe, nutzen die Versuche eine Sicherheitslücke bei der Initialisierung des Terminals aus und versuchen, Überweisungen auf Kosten des Terminal-Händlers zu machen?
Diese Gutschrift-Funktion muss ja serverseitig erstmal freigeschaltet sein, einerseits für das betroffene Gerät bzw. die Terminal-ID und andererseits bei der kontoführenden Bank. Normal ist das nämlich nicht, die wenigsten Händler benötigen diese Funktion.
Neben dem Detail-Wissen, wie das Netzwerk des Händlers aufgebrochen werden kann, muss das auch erstmal gegeben sein. Bin sehr auf die weiterführenden Informationen bekannt, bis jetzt sehe ich keinen großen Grund zur Besorgnis.
Gruß
Raimund
Benutzer
Avatar
Geschlecht:
Beiträge: 3405
Dabei seit: 06 / 2008
Betreff:

Re: Sicherheitslücke bei EC-Kartenzahlung

 · 
Gepostet: 28.12.2015 - 21:56 Uhr  ·  #3
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 7444
Dabei seit: 08 / 2002
Betreff:

Re: Sicherheitslücke bei EC-Kartenzahlung

 · 
Gepostet: 29.12.2015 - 08:30 Uhr  ·  #4
https://media.ccc.de/v/32c3-7368-shopshifting
Insgesamt bedenklich, allerdings überzeugt mich der Vortrag nicht in allen Details.
Die Übernahme des Netzwerkes, Hacken der Schlüssel und die Simulation der Anzeige über ZKA beim gezeigten Terminal kann ich nicht beurteilen. Diesen Ansatz gab es ja meines Wissens auch schon mal. Die Analyse der Antwortzeit im Tausendstel ms-Bereich dürfte aufwändig sein, aber scheint mir plausibel durchführbar, wenn ich volle Kontrolle über das Netz bekomme. Damit könnte man dann Kartendoubletten anlegen, wenn die Manipulation niemand bemerkt. Wenn das Kassenpersonal den Beleg kontrolliert - was es machen muss um zu erkennen, ob nicht der Karten-Kunde den Zahl-Vorgang abgebrochen hat, fliegt der Betrug schnell auf.
Vom gezeigten Hypercom artema-Terminal gibt es ja einige Varianten. Ich hoffe mal, dass die billigen ebay-artemas die ausgemusterten Geräte sind, die seit Mitte des Jahres gar nicht mehr in Betrieb genommen werden dürfen...

Prepaidaufladungen: Wenn ein Terminal, wie hier im simultierten Wartungsfall, kopiert wird, legt diese Aktion das Originalterminal technisch lahm. Ich glaube nicht, dass dies bei einem benutzten Terminal lange unbemerkt bleibt. Außerdem ließe sich das vom Netzbetreiber unterbinden, indem Inbetriebnahmen nur mit Supportunterstützung vorgenommen werden. Das ist sicherlich bei einigen auch üblich. Die wenigsten der selten benutzten Geräte können Prepaidaufladungen erzeugen, die Funktion dürfte auch Geld kosten. Wieviel Geräte können das? 2 Prozent oder weniger? Da dürfte der Netzbetreiber gefragt sein.

Der Überweisungsansatz (Terminalgutschrift) funktioniert meines Wissens nur, wenn die Bank das auch am Konto akzeptiert. Hier bin ich nicht sicher, ob die Banken dies ohne Auftrag einfach durchwinken. Meine Vermutung wäre: Eher nein oder nur im Einzelfall, wenn der Händler eine Gutschriftsfunktion benötigt. Bei Geschäften, die Mehrwertsteuern gutschreiben, könnte das der Fall sein. In allen anderen Fällen bliebe die Buchung am Konto hängen und sollte Aufmerksamkeit erzeugen.

Der offensichtlich schwache Schutz des HSM bei solchen teuren Geräten ist schon peinlich für den Hersteller. Ob das auf alle neuen Geräte und den Wettbeweber genauso zutrifft: keine Ahnung. Artemas gibt es - afaik - seit 15 Jahren.

Gruß
Raimund
Benutzer
Avatar
Geschlecht:
Beiträge: 3405
Dabei seit: 06 / 2008
Betreff:

Re: Sicherheitslücke bei EC-Kartenzahlung

 · 
Gepostet: 29.12.2015 - 09:02 Uhr  ·  #5
ob die Lücke tatsächlich ausgenutzt wird, ist ja mal zweitrangig bzw. keines der Unternehmen würde einen "Angriff" zugeben.
gut finde ich in jedem Fall, dass aber auf solche Lücken hingewiesen wird, denn nur so werden die Kunden sensibilisiert (nicht verängstig da kein Schaden entstehen wird) und die Hersteller/Entwickler aufgerüttelt.

beim pushTAN-System doch das gleiche - hier wurde zum 2ten "Angriff" geblasen.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 5
Dabei seit: 08 / 2016
Betreff:

Re: Sicherheitslücke bei EC-Kartenzahlung

 · 
Gepostet: 23.08.2016 - 14:26 Uhr  ·  #6
Ich weiß nicht, ob das nur Einzelfälle sind oder das bei jedem Gerät passieren kann. Wäre schon eine krasse Sicherheitslücke. Da bringt das Schreiben darüber sogar noch weniger!
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 19
Dabei seit: 04 / 2014
Betreff:

Re: Sicherheitslücke bei EC-Kartenzahlung

 · 
Gepostet: 23.08.2016 - 15:13 Uhr  ·  #7
Zitat geschrieben von Heike99

. Da bringt das Schreiben darüber sogar noch weniger!


Dieser Satz erschließt sich mir nicht ganz?

Zitat geschrieben von Heike99

Ich weiß nicht, ob das nur Einzelfälle sind oder das bei jedem Gerät passieren kann. Wäre schon eine krasse Sicherheitslücke.


Soche Hacks sind immer von mehreren Komponenten abhängig, u.a. die Software ( in diesem Fall die der Banking App und die der Authentifizierungs App ) und deren Version die genutzt wird, das Betriebssystem des Smartphones und dessen Version und einem ggf. erfolgten root. usw.

Der von Herrn Haupert durchgeführte Hack ist heute in dieser von Ihm vorgestellten Konstellation nicht mehr machbar und war erstmal nur mit dieser dort genutzten Kombination ( Betriebssystem des SP, sowie ältere Version der PushTan App der Sparkassen) möglich und auch nur bei Umgehung des physischen Zweischrittverfahrens.

Über die Vor- und Nachteile solcher Applikationen wird hier an anderen Stellen auch schon genug diskutiert, ( links füge ich in Kürze ein, muss sie noch raussuchen ).

Meine persönliche Meinung: Sofern man die App als zweites Medium im Zwei-Schritt-Verfahren nutzt, kann man von einem Sicherheitszuwachs ggü. der Variante mobile TAN sprechen.

EDIT: Eine Sicherheitslücke sehe Ich vielmehr bei den vielen Nutzern die noch per TAN-Liste oder iTAN unterwegs sind.
Gewählte Zitate für Mehrfachzitierung:   0