Wer mit seiner Karte kontaktlos bezahlt, muss ab einem gewissen Betrag – derzeit 80 Franken – den PIN-Code am Terminal eingeben. Keinen Code braucht es hingegen, wenn kontaktlos mit einem Handy bezahlt wird, etwa mit Apple Pay oder Google Pay. Denn dann liefert die Software auf dem Handy zusätzliche Sicherheit. Oder fragt unter Umständen selbst nach einem Code.
Forschern der ETH Zürich ist es nun gelungen, dieses System zu überlisten und Kartenzahlungen so über ein Handy laufen zu lassen, dass auch bei Zahlungen mit nicht hinterlegten Karten kein Code abgefragt wird. Grund dafür ist offenbar ein Fehler im System von Visa.
Der von Visa und Mastercard gemeinsam entwickelte Standard EMV enthalte zahlreiche Schwachstellen, teilen die Forscher mit. Eine davon erlaube die Kontaktloszahlung ohne PIN-Code.
Bei allen Karten funktioniert
«Betroffen sind alle Karten mit einem Visa-Label», sagt Forscher Jorge Toro zu «Handelszeitung». «Wir haben das mit verschiedenen Karten aus der Schweiz und aus dem Ausland getestet, und es hat immer funktioniert.» Die Tests hätten nicht nur in Laborumgebungen, sondern auch in echten Verkaufsstellen stattgefunden, betont Toro. Etwa an Billettautomaten oder in Läden. Und er fügt an: «Wir haben immer nur eigene Karten verwendet und alle Rechnungen bezahlt.»
Ein Video der ETH zeigt, wie der «Hack» funktioniert. Mit einem Handy wird die Visa-Karte über die kontaktlos-Schnittstelle eingelesen. Das Handy übermittelt deren Kartendaten an ein zweites Handy, auf dem eine Bezahl-App läuft. Dieses wird dann ganz normal zum Bezahlen an der Kasse eingesetzt.
Obwohl die Kartendaten direkt von einer Karte stammen, die nie für Payment-Apps freigeschaltet wurde, kommt also eine Zahlung zustande. Dem System wird vorgegaukelt, es handle sich um eine Zahlung aus einem Payment-Wallet wie Apple Pay, weshalb kein PIN-Code verlangt wird. Beziehungsweise eine höhere PIN-Limite zur Anwendung kommt.
Bis zu welchem Betrag der Hack funktioniert, kann Toro nicht sagen. Man habe es für Beträge bis zu 200 Franken getestet. Stets erfolgreich.
Bereits im April habe die ETH Visa auf dieses Problem hingewiesen, sagt Forscher Toro. Visa habe rasch darauf reagiert und geschrieben, dass die Lücke keine Bedrohung darstelle. «Doch da liegen sie falsch», sagt Toro. Man habe Visa im Juni erneut darauf hingewiesen und mitgeteilt, dass man ein Paper zur Sicherheitslücke publizieren werde, so Toro. Darauf gab es keine Reaktion mehr.
Schwachstelle nicht bekannt
Die «HZ» hat Visa Schweiz ebenfalls mit den Vorwürfen konfrontiert und bislang kein Statement dazu erhalten. Der Direktor des Verbands der Schweizer Kreditkartenherausgeber, SPA, sagt, bis zur Medienmitteilung der ETH sei ihnen die von der ETH beschriebene Schwachstelle nicht bekannt gewesen. Daher verzichte man auf einen Kommentar.
Die Sicherheitslücke gilt offenbar hauptsächlich für Visa-Karten. Karten von Mastercard oder Amercian Express seien davon nicht betroffen, sagt Toro. Möglicherweise funktionieren der Hack auch bei Karten von Discover und UnionPay, schreiben die Forscher in ihrer Dokumentation. Das sei jedoch nicht getestet worden.
Der Hack funktioniert nicht, wenn Karten im System gesperrt wurden. Ob die Kartenherausgeber die Sicherheitslücke mit eigenen Mitteln schliessen können, sei unklar, sagt Toro. «Dieses Problem muss von Visa auf Ebene des EMV-Protokolls behoben werden.»
Update: Statement von Visa
Visa nahm am Dienstagnachmittag wie folgt Stellung, ohne konkret auf die vorgeworfene Sicherheitslücke einzugehen: «Visa nimmt alle Sicherheitsbedrohungen für Zahlungen sehr ernst, und wir schätzen die Bemühungen aus der Industrie und der Wissenschaft, die Zahlungssicherheit weiter zu erhöhen. Konsumenten können ihre Visa Karten weiterhin mit Zuversicht verwenden. Verschiedene simulierte Betrugsvarianten werden seit beinahe zehn Jahren untersucht. In diesem Zeitraum wurden weltweit keine entsprechenden Betrugsversuche gemeldet. Kontaktlose Karten sind sehr sicher. Sie nutzen dieselben sicheren Technologien wie bisherige Karten und sind extrem effektiv, wenn es um die Verhinderung von Betrug mit Kartenkopien geht. Sie verwenden einen einmalig gültigen Code, der verhindert, dass kompromittierte Daten ein weiteres Mal betrügerisch genutzt werden können. Die Betrugsrate bei kontaktlosen Visa Zahlungen ist in Europa zwischen 2018 und 2019 um 21 Prozent zurückgegangen.»