Wirtschaft Freitag, 07. August 2015 Bei Square können Verkäufer einen
Kreditkartenleser in die Kopfhörerbuchse ihres Handys stecken, um
darüber die Zahlung abzuwickeln. Hackern gelingt es nun, mit simplem
Werkzeug das Gerät zu manipulieren. Die Hacker geben ihre Erkenntnisse
an die Betreiber weiter.
US-Hackern ist es nach eigenen Angaben
gelungen, binnen weniger Minuten in das mobile Bezahlsystem des
Anbieters Square einzudringen. Alexandra Mellen und John Moore
erläuterten auf der IT-Sicherheitskonferenz Black Hat in Las Vegas, wie
es ihnen möglich war, das über das Smartphone laufende System
anzugreifen. Besondere Schwierigkeiten hatten sie dabei offenbar nicht:
"Jeder Laie könnte das schaffen", sagte Mellen.
Bei Square können Verkäufer einen kleinen
Kreditkartenleser in die Kopfhörerbuchse ihres Handys stecken. Darüber
wird dann die Zahlung abgewickelt. Mellen erklärte, ihr und Moore sei es
gelungen, den Kreditkartenleser "in weniger als zehn Minuten" in ein
Instrument für Datenklau verwandeln. Den Angaben zufolge waren für die
Manipulation nur einfache Werkzeuge nötig, darunter ein Schraubenzieher.
In dem Gerät verschweißten Mellen und Moore einen Draht, so dass ein
Verschlüsselungschip umgangen wurde. Danach sei es möglich gewesen,
Informationen von Kreditkarten, die mit dem Gerät gelesen wurden,
unverschlüsselt abzuschöpfen. Erkenntnisse an Square weitergegeben
Die Hacker griffen das System zusätzlich auch
über die Software an. Dadurch werde es für Verkäufer möglich, nach einer
Transaktion weitere Abbuchungen für vorgetäuschte Käufe vorzunehmen.
"Wir finden das beunruhigend, denn wenn man seine Kreditkartenabrechnung
nicht immer genau überprüft, merkt man es vielleicht nicht", gab Moore
zu bedenken. Die beiden IT-Experten gaben ihre
Erkenntnisse nach eigenen Angaben an Square weiter. Ob das Unternehmen,
das von Twitter-Interimschef Jack Dorsey geführt hat, deswegen
Änderungen plane, sei aber unklar.
Square machte die Kreditkartentechnologie für
die Angriffsmöglichkeiten verantwortlich. Mit Blick auf die Nutzung des
Magnetstreifens in den Karten erklärte das Unternehmen: "Es sollte uns
nicht überraschen, dass ein System verwundbar ist, das im Grunde die
gleiche Technik verwendet wie eine Audiokassette." Grundsätzlich könnten
sämtliche auf dem Markt verfügbaren Kreditkartenlesegeräte manipuliert
werden, erklärte Square. Das Unternehmen habe aber Vorkehrungen gegen
"bösartiges Verhalten" getroffen. Quelle: n-tv.de , ppo/AFP http://www.n-tv.de/wirtschaft/Hacker-knacken-mobiles-Bezahlsystem-article15675711htmll
Bemerkung:
Einfach, primitiv und kostengünstig, jemand hat es
zertifiziert ?
So primitiv einfach und unsicher und keiner hat es
zertifiziert, oder ?