Zwei Forscher des Cambridge University Computer Laboratory haben ein Szenario nachgestellt, wie Hacker die neuesten Sicherheitsmaßnahmen britischer Banken umgehen können. Saar Drimer und Steven Murdoch hatten bereits vergangenen Monat demonstriert, wie sich ein angeblich manipulationssicherer Chipkartenleser mit PIN-Eingabe zum Tetrisspielen umfunktionieren lässt. Mit der Erweiterung dieses Hacks ist es ihnen nun gelungen, das Chip-und-PIN-System durch die Umleitung von Karteninformationen von einer echten auf eine falsche Karte zu überlisten.
In dem Modellversuch zahlte ein Kunde eine Restaurantrechnung mit seiner Bankkarte, indem er seine Daten in einen scheinbar echten Kartenleser eingab. In Wirklichkeit war das Gerät allerdings nicht mit der Bank, sondern mit einem Laptop verbunden, der die Karteninformationen direkt an einen beliebigen Rechner, etwa in einem Juweliergeschäft, hätte weiterleiten können. Auf diese Weise hätten Kriminelle die völlige Kontrolle über das Bezahlterminal gehabt. So wäre es ihnen beispielsweise möglich gewesen, dem Restaurantbesucher einen Zahlungsbetrag von 40 Dollar anzeigen zu lassen, während mit den übertragenen Karteninformationen eigentlich 4000 Dollar vom Konto abgebucht worden wären.
Die Forscher wollten mit ihrem Experiment zeigen, dass das im vergangenen Jahr in England eingeführte System nicht so sicher sei, wie von den Banken behauptet. Die Kombination aus Chip und PIN schütze nicht vor dieser Art von Angriff. Dennoch sollten Kunden nach dem Willen der Banken für Missbrauchsfälle verantwortlich gemacht werden, in denen die PIN-Nummer benutzt wurde, kritisierten die Cambridge-Wissenschaftler. „Wenn ein Kunde mit einer Chipkarte bezahlt, muss er darauf vertrauen, dass der Kartenleser die korrekte Transaktionssumme anzeigt. Unser Versuch hat jedoch gezeigt, dass ein Terminal jederzeit durch ein manipuliertes Gerät ersetzt werden kann, das keinerlei verdächtige Spuren aufweist.“
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…