Zahlen: Mobile Kartenleser ermöglichen Betrug

Ob in Cafés, bei Pop-up-Stores oder auch in anderen kleineren Geschäften: Immer häufiger kommen Bezahlungslösungen zum Einsatz, die Smartphone oder Tablet und ein daran angeschlossenes Kartenlesegerät nutzen. Denn diese sind schon unter 50 Dollar zu haben. Doch bei einer Untersuchung von sieben gängigen Modellen vier bekannter Anbieter haben Leigh-Anne Galloway und Tim Yunusov von Positive Technologies festgestellt, dass ein Teil der Geräte recht grobe Sicherheitsmängel aufweist. Bei drei Modellen sind die Experten auf eine Lücke gestossen, die speziell für die Kunden unangenehme Folgen haben kann. Denn dadurch ist es möglich zu manipulieren, was dieser auf dem Bildschirm angezeigt bekommt. "Es wäre möglich, als betrügerischer Händler den Wert der Transaktion zu verändern, auf einen höheren Wert als am Lesegerät angezeigt wird", erklärt Galloway gegenüber "Cnet". Eine gefälschte Rückmeldung könnte aber auch dazu auffordern, anstelle des Chips den vergleichsweise unsichereren Magnetstreifen zu nutzen.

Viele der mobilen Kartenleser nutzen Bluetooth-Verbindungen. Eben diese sind dem Positive-Technologies-Team zufolge meist nicht korrekt gesichert. "Man kann nie wissen, ob ein Angreifer ins Café spaziert und sich mit dem Kartenleser verbindet", warnt Galloway. Ein Hacker könnte dann jedenfalls andere Lücken ausnützen. Eben die fallen teils gravierend aus. Bei zwei untersuchten Geräten des Hersteller Miura war es sogar möglich, beliebigen Code auszuführen. Die Manipulation von Transaktionsbeträgen sieht das Team allerdings als praxisrelevanteste Gefahr. https://blackhat.com/us-18 https://www.ptsecurity.com