Schwachstelle in der Bezahl-App
Es war der Sicherheitsforscher Salvador Mendoza, der diese Möglichkeit aufdeckte, mit der Kriminelle den Samsung Bezahldienst zu ihren Gunsten nutzen können. Wie silocon.de dazu schrieb ist das nur auf Grund einer Schwachstelle möglich. Damit kann man sozusagen vorhersehen welche Sicherheitstoken die Bezahl-App generiert. Somit wird es Kriminellen möglich zu Lasten eines anderen Kontos zu bezahlen.
Samsung Pay funktioniert mit der Magnetic Secure Transmission (MST) Technik. Sie ermöglicht es einem Smartphone, mit einem klassischen Magnetstreifenlesegerät berührungslos zu kommunizieren. Dazu werden die im Smartphone hinterlegten Kreditkartendaten in Token umgewandelt, die dann an das Lesegerät übertragen werden.
Token vorhersagbar
Wie der Sicherheitsforscher Mendoza herausfand sind die Token vorhersagbar. Allerdings muss man von einer spezifischen Karte lediglich das erste Token kennen. Stiehlt also ein Angreifer Token von einem Smartphone kann er diese ohne Einschränkung auf einem anderen Gerät verwenden.
Laut Mendoza lassen sich die Token mit einer Art MST-Lesegerät, welches am Unterarm befestigt wird, stehlen. Wird das Smartphone in die Hand genommen, fängt das Gerät den Token ab und versendet ihn per E-Mail an eine zuvor definierte Adresse. So lässt sich der Token auch auf ein anderes Telefon übertragen. Das Ganze ließe sich Mendoza zu Folge auch an einem Lesegerät im Einzelhandel, ähnlich wie ein EC-Karten-Skimmer, einsetzen.
Alle Karten betroffen
Wie es heißt, sollen von der Problematik alle gängigen Kreditkarten, Debitkarten und auch Prepaidkarten betroffen sein. Nur Gutscheinkarten seine weniger anfällig, da Samsung hier einen Barcode erzeuge, der an der Kasse gescannt werden muss.
Stellungnahme von Samsung
“Samsung Pay ist mit den fortschrittlichsten Sicherheitsfunktionen ausgestattet, wodurch sichergestellt wird, dass alle Zahlungsdaten verschlüsselt werden”
“Sollte es jemals eine mögliche Schwachstelle geben, werden wir sie sofort untersuchen und das Problem beheben.”
