Kontaktloses Bezahlen - Die andere Seite des Terminals
Über die vorgestellten Relay-Angriffe sind EMV-Karte zumindest theoretisch gefährdet, und es gab auch schon Angriffe "in the Wild" auf das kontaktbehaftete Chip&PIN-Verfahren. Aber das ist nur die eine Seite der Medaille, bzw. des Point-of-Sale-Terminals. Das kommuniziert ja nicht nur mit der Karte, sondern auch mit dem Kassensystem des Händlers und dem Server des zugehörigen Zahlungsdienstleisters.
Gefahren "hinter" dem PoS-Terminal
Auch auf dieser aus Sicht der Karte anderen Seite des PoS-Terminals droht Gefahr, wie Fabian Bräunlein, Philipp Maier und Karsten Nohl 2015 auf dem 32. Chaos Communication Congress gezeigt haben.
Die PoS-Terminals kommunizieren über das ZVT-Protokoll mit dem Kassensystem des Händlers und über das Poseidon-Protokoll mit dem Zahlungs-Dienstleister. In beiden Protokollen gibt es Schwachstellen, über die ein Angreifer im gleichen Netz die Kommunikation abfangen, entschlüsseln und manipulieren kann. Das sich ein Angreifer im lokalen Netz befindet ist nicht mal so unwahrscheinlich, man denke nur an Hotels oder Restaurants etc. mit freiem WLAN für die Gäste.
ZVT - Sicherheit wird überbewertet
Über ZVT ist zum Beispiel der Zugriff auf die Magnetstreifen-Daten ohne Authentifizierung möglich. Dazu muss sich der Angreifer, der sich im lokalen Netz des Händlers befinden muss, nur über ARP-Spoofing als MitM in die Kommunikation einklinken. Danach kann er die Anweisung zum Lesen des Magnetstreifens an das PoS-Terminal schicken und die als Klartext übertragenen Daten abfangen.
Auch das Umgehen des PIN-Schutzes ist möglich. Das ZVT-Protokoll erlaubt es, auf dem PoS-Terminal beliebige Texte anzeigen zu lassen, wodurch eine legitime PIN-Abfrage vorgetäuscht werden kann. Dazu müssen die Texte aber mit einem Message Authentication Code versehen sein, den ein Angreifer eigentlich nicht berechnen kann. Eigentlich, weil sich der dafür benötigte Schlüssel über einen Timing-Seitenkanalangriff ausspähen lässt.
Es ist auch möglich, das Terminal zu hijacken. Das dafür nötige Passwort für die Änderung der Konfiguration des Terminals ist statisch und lässt sich im Internet finden. Wenn die Terminal-ID geändert wird, werden die empfangenen Zahlungen dem dazu gehörenden Händlerkonto gutgeschrieben. Das bei einem Angriff dann das des Angreifers ist.
Poseidon - Warum soll das sicher sein, wenn ZVT es auch nicht ist?
Auch das Poseidon-Protokoll ist nicht sicherer. Dessen Authentifizierung erfolgt über Pre-Shared Keys, wie zum Beispiel bei einem VPN. Nur dass diese Schlüssel für sehr viele Terminals identisch sind. Und ebenfalls im Internet gefunden werden können. Damit kann ein Terminal dann so konfiguriert werden, dass es unter der Identität eines anderen Händlers angemeldet wird. Die dafür nötigen Informationen sind leicht ermittelbar, zum Beispiel steht die Terminal-ID auf jeder Quittung oder kann auch einfach geraten werden, da sie fortlaufend vergeben wird.
Nach der Anmeldung können über das Terminal zum Beispiel gültige Auflade-Codes für Prepaid-Telefonkarten oder Gutschriften erzeugt werden, die dann zu Lasten des Händlers gehen, der das Original des imitierten Terminals betreibt.
Schlimmer geht immer, so auch hier
Auch wenn die Passwörter nicht im Internet verfügbar wären, wäre ein Angriff möglich. Die benötigten Schlüssel werden in einem Hardware Security Module gespeichert, dessen Schutzmaßnahmen sich aushebeln lassen. Ein Angreifer, der ein Terminal besitzt, kann die benötigten Daten also auslesen. Und Terminals gibt es zum Beispiel bei eBay.
Sowohl ZVT als auch Poseidon müssen dringend abgesichert werden, denn bisher basiert die Sicherheit aus einem Mix aus "Security through Obscurity" und dem Vertrauen, dass die Terminals alle in vertrauenswürdigen Händen sind. Was nicht zwingend der Fall ist, da sie im Internet erworben werden können.
Fazit
Sie sehen also: So wirklich sicher ist das alles nicht. Schon allein deswegen sollte man sich das mit der Bargeldabschaffung gut überlegen. Ganz unabhängig von den sich ergebenden Problemen beim Datenschutz, die ebenfalls allein schon Grund genug sind, nicht nur bargeldlos zu bezahlen.
Ach, ich vergaß... wer nichts zu verbergen hat und so. Also ICH bin noch nie mit Koffern voller Geld durch die Gegend gelaufen wie es in gewissen anderen Berufsgruppen ja ab und zu üblich zu sein scheint. Und damit meine ich jetzt nicht die Mitarbeiter im Geldtransportgewerbes.
Und dann bleibt noch die Frage, wie man denn einkaufen soll, wenn mal wieder keine Bargeldlose Zahlung möglich ist. Kommt ja auch nicht so selten vor dass man so ein Schild an einzelnen Kassen oder gleich an der Markt-Tür zu sehen bekommt.
Das Thema der nächsten Folge steht noch nicht endgültig fest.
Trackbacks