NFC-Hack
31.08.2020, 16:48 Uhr
ETH Zürich hackt Visas "Kontaktlos zahlen"-Funktion
Mit einer "Man in the Middle"-Strategie hackte ein Forschungs-Team der ETH Zürich die NFC-Zahlfunktion von Visa und konnte dann nach belieben Einkaufen - ohne PIN.
Das kontaktlose Zahlen ohne PIN-Eingabe ist für einen Höchstbetrag von 40 Franken vorgesehen. Im Rahmen der Corona-Massnahmen wurde dies zeitweise auf 80 Franken erhöht. Allerdings sind diese Beträge nicht sakrosankt. Forscher der ETH Zürich zeigen, dass sich dies auch umgehen lässt.
Mit der sogenannten "Man in the Middle"-Methode schalten sich die Hacker zwischen das Bezahlterminal und die Visa-Karte und tricksen den NFC Chip aus. Konkret: Mittels zweier über WLAN miteinander verbundenen Smartphones. Das eine Phone simuliert die Karte, respektive die Bezahlfunktion. Auf dem anderen Handy läuft eine von den Hackern entwickelte App, die den Bezahlterminal simuliert. Mit einer minimalen Änderung im Datenstrom - verursacht durch diese App - kann de PIN-Prüfung umgangen werden. So konnten das Forscher-Team im Testszenario beliebig viele und beliebtig teure Waren kaufen, ohne den PIN jemals eingeben zu müssen.