Forscher der Schweizerischen Technischen Hochschule Zürich stellten eine Sicherheitslücke gerade bei der Autorisierung kontaktloser Zahlungen für Visa-Zahlungskarten fest. Damit können Sie das Limit für Transaktionen überschreiten, ohne eine PIN einzugeben. Dies bedeutet, dass Angreifer im Falle eines Diebstahls mit einer Karte für ein sehr teures Produkt bezahlen können.
Ein interessantes Detail ist im PoC-Video erkennbar: Es werden zwei Smartphones verwendet, eines liest Daten von einer Kreditkarte, das andere wird zu einem Zahlungsterminal gebracht. Es wird davon ausgegangen, dass es nicht einmal notwendig ist, die Karte zu stehlen, es reicht aus, die Kreditkarte zum richtigen Zeitpunkt erfolgreich zu küssen. Bisher waren solche Angriffe auf das kontaktlose Zahlungssystem einfach unpraktisch. Sie bleiben so, aber die Forschung macht sie etwas gefährlicher, als wir es gerne hätten.
Eine detaillierte Studie zu diesem Thema wurde noch nicht veröffentlicht - die Forscher versprechen, die Arbeit bereits im Mai 2021 mit allen Details einzureichen. Bisher ist Folgendes bekannt: Die Sicherheitsanfälligkeit liegt in der Möglichkeit, den Status der Zahlungskarte zu ändern, die bei Kontakt mit dem Terminal übertragen wird. Genauer gesagt gibt es zwei Status: Der eine informiert das Terminal darüber, dass keine PIN-Code-Eingabe erforderlich ist, der zweite - dass die Karte auf dem Benutzergerät (z. B. auf einem Smartphone) autorisiert ist. Normalerweise führt die Kombination dieser Anzeigen dazu, dass das Terminal nach einer PIN fragt. In einem Angriffsszenario werden Daten von einer Karte von einem Smartphone gelesen, auf ein anderes Smartphone übertragen und dabei geändert. Das Limit für kontaktlose Zahlungen in der Schweiz beträgt CHF 80 (€ 74 zum Zeitpunkt der Veröffentlichung). Die Forscher zahlten ohne Genehmigung 200 Franken und nutzten die entdeckte Sicherheitslücke.
Höchstwahrscheinlich sind viele Visa Kredit- und Debitkarten anfällig. Es ist auch möglich, dass die Ersetzung des Status auf den Karten des Discover- und des Union Pay-Systems möglich ist. Sicherheitslücken werden von Mastercard-Karten nicht beeinflusst (mit Ausnahme der frühesten kontaktlosen), da dort der Status, mit dem Sie die Notwendigkeit der Eingabe einer PIN umgehen können, nicht im laufenden Betrieb geändert werden kann. Den Forschern selbst ist nicht bekannt, ob alle Karten oder nur einige oder bestimmte Banken für einen bestimmten Zeitraum betroffen sind. Die Empfehlungen sind einfach: Verlieren Sie Ihre Karte nicht und verwenden Sie eine Brieftasche, die die drahtlose Funkkommunikation isoliert. Okay, eine Brieftasche ist nicht erforderlich, aber es ist besser, Ihre Karte nicht zu verlieren.
Was ist sonst noch passiert?
Der nächste Patch für Microsoft-Lösungen schließt 129 Sicherheitslücken, von denen 23 kritisch sind. Eines der schwerwiegendsten Probleme wurde auf dem Microsoft Exchange-Server festgestellt . Ein Angreifer kann beliebigen Code mit hohen Berechtigungen auf dem Mailserver ausführen, indem er eine vorbereitete Nachricht sendet.
Der monatliche Patch für Android schloss 53 Fehler, einschließlich der nächsten Lücke im Media Framework.
Nachschub bei einer Reihe von Schwachstellen im Bluetooth-Protokoll. Mit dem BLURtooth-Fehler können Sie mit Bluetooth 4.0 und 5.0 ohne Autorisierung eine Verbindung zu Geräten in der Nähe herstellen.
E-Mail-Abonnenten und Newsletter Die Sicherheitslücke im Wordpress-Plugin ist bedrohtHunderttausende von Websites. Durch eine falsche Autorisierung können Sie den Mailserver zum Senden von Spam verwenden.
Eine interessante Entwicklung zum Thema Angriffe auf Office 365: In einer Phishing-Kampagne wurde ein Mechanismus zur Überprüfung der von einem Opfer auf einer gefälschten Site eingegebenen Daten in Echtzeit festgestellt. Das heißt, Ihr Benutzername und Ihr Passwort werden nicht nur gestohlen, sondern auch höflich gemeldet, wenn Sie während der Eingabe einen Tippfehler gemacht haben.
Sicherheitsforscher berichten von einem Angriff auf Linux-basierte VoIP-Gateways. Angreifer suchen nach Anruflisten.
Razer, ein Hersteller von Laptops, Gaming-PCs und Zubehör, hat 100.000 Kundendaten gestohlen .
Die Entwickler des Zoom-Videokonferenzdienstes haben die Zwei-Faktor-Authentifizierung implementiert .