32C3:Sicherheitsforscher zeigen massive Lücke bei EC-Bezahln

Als Gast hast du nur eingeschränkten Zugriff!

Anmelden

Benutzerkonto erstellen

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

Antworte auf Themen oder erstelle deine eigenen.
Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.

Am Wochenende hat in Hamburg der Chaos Communication Congress (32C3) begonnen und gleich zu Beginn deckten zwei Berliner Sicherheitsforscher eine Lücke auf, die man als massiv beschreiben kann und die viele, wenn nicht sogar alle von uns betreffen könnte: nämlich eine Schwachstelle bei der EC-Karten-Zahlung.

Karsten Nohl und Fabian Bräunlein, zwei Sicherheitsexperten des Berliner Security-Unternehmens SRLabs, haben bereits vor Weihnachten erste Einblicke in diese EC-Sicherheitslücke gegeben, aufgrund der Tragweite machten sie am gestrigen Sonntag auf dem Hacker-Kongress 32C3 noch einmal näher darauf aufmerksam.

Nohl und Bräunlein demonstrierten auch live auf der Bühne ein derartiges Angriffsszenario: Sie zeigten das Auslesen einer PIN-Kombination und überwiesen zudem einen Betrag von 15 Euro an mobile Prepaid-Guthaben auf ein anderes Konto.

Verantwortlich dafür sind, wie man auch auf der Seite von SRLabs nachlesen kann, die Bezahl-Terminals, über die mittlerweile praktisch jeder Händler verfügt. Doch diese basieren auf proprietären Protokollen, die auf die 1990er-Jahre zurückreichen. Und diese haben in Sachen Sicherheit massive Unzulänglichkeiten.

ZVT und PoseidonDas Hauptprotokoll in Deutschland heißt ZVT, es erlaubt Betrügern bei entsprechendem Fachwissen, verhältnismäßig einfach die Details des Bezahlvorgangs auszulesen. Schlimmer noch, so die Sicherheitsforscher, sei es aber, dass die PINs auch per Remote-Verbindung abgegriffen werden können. Das hängt unter anderem mit der kryptografischen Signatur (MAC) und dem Abspeichern des Keys in den Hardware Security Modules (HSMs) zusammen.

Ebenfalls eine Rolle in diesem Angriffsszenario spielt das vielfach eingesetzte Internet-Protokoll Poseidon, auch dieses hat eine schwerwiegende Authentifizierungslücke. Nohl und Bräunlein riefen die Händler und Payment-Anbieter auf, diesen Missstand schnellstmöglich zu beheben, betroffene Konsumenten sollten sich indes an ihre Bank wenden und etwaige Schäden zurückfordern

Quelle:

Please Login HERE or Register HERE to see this link!

Thema	Forum	Themenstarter	Statistik	Letzter Beitrag
Ich kaufe gültige deutsche eMail GMX/WEB bei Ebay/Vinted Ebay, Emails	Suchanfragen	Chasecrimes	1 Antwort 6899 Aufrufe	13 January 2024 - 18:35 Uhr Von: Chasecrimes
Wie sucht ihr Eure Sicherheitslücken?	Classic Hacking	0x53A	5 Antworten 5744 Aufrufe	07 September 2023 - 20:16 Uhr Von: CyberClash
Benötige Hilfe bei RAT + FUD Crypter malware, rat, virus, crypter und 2 weitere...	Rats	Tom38	4 Antworten 13914 Aufrufe	10 May 2023 - 03:06 Uhr Von: Leak1337