PURE: Neue Sicherheitslösung schützt vor digitalem Taschendiebstahl
Mit wenig technischem Geschick und preiswerter Technik könnten Betrüger:innen die Zahlungskarte, das Mobiltelefon oder die Smartwatch einer anderen Person benutzen, um an einem entfernten Ort ohne deren Zustimmung kontaktlos zu bezahlen. Forschende der ETH Zürich haben eine Sicherheitslösung entwickelt, die Konsument:innen vor dieser Bedrohung schützt.
Kontaktlose Zahlungen haben in den letzten Jahren stark an Beliebtheit gewonnen, da sie eine bequeme, schnelle und hygienische Möglichkeit darstellen, Einkäufe in Geschäften zu tätigen. Die COVID-19-Pandemie hat sicherlich dazu beigetragen, diesen Trend zu beschleunigen. Schätzungen zufolge werden jedes Jahr weltweit Transaktionen im Wert von etwa 7 Billionen US-Dollar mit der «Tap-and-go»-Methode abgewickelt. Dieser Betrag soll bis 2027 auf 10 Billionen US-Dollar anwachsen. Trotz ihrer Vorteile bergen die kontaktlosen Zahlungen jedoch auch Sicherheitsrisiken.
Vorsicht vor dem Relais-Betrug
Stellen Sie sich vor, Sie fahren in einem überfüllten Zug zur Arbeit; und ehe Sie sich versehen, wird Ihre Kredit- oder Debitkarte, obwohl sie sicher in Ihrem Portemonnaie aufbewahrt ist, für einen Kauf an einem weit entfernten Zahlungsterminal oder für eine Bargeldauszahlung an einem entfernten Bankomaten belastet. Dieses Szenario mag unrealistisch klingen, ist es aber nicht. «Jede:r halbwegs technisch versierte Kriminelle könnte einen solchen Trick mit einem sogenannten Relay-Angriff durchführen», sagt Daniele Coppola, Doktorand in der Gruppe von Professor Srdjan Capkun an der ETH Zürich.
Bei einer einfachen Variante des Relay-Angriffs benötigen die Betrüger:innen nur relativ preiswerte Hardware sowie eine im Internet verfügbare Software, um sensible Daten von der Zahlungskarte oder dem Telefon des Opfers abzufangen und diese Informationen dann an ein entferntes Terminal weiterzuleiten, an dem eine Komplizin oder ein Komplize die betrügerische Zahlung vornimmt.
Auf diese Weise erwecken die Kriminellen den Anschein, als befände sich die Karte des Opfers in der Nähe des Terminals, an dem die Zahlung erfolgt, während sie in Wirklichkeit kilometerweit entfernt sein kann. Auffällig wäre dabei nichts, ausser vielleicht eine kurze Verzögerung beim Abschluss der Zahlung. Das Opfer wird möglicherweise erst später auf den Betrug aufmerksam, wenn es den verdächtigen Kauf auf seiner Kartenabrechnung entdeckt, es sei denn, es hat sich dafür entschieden, sofort nach jeder Transaktion benachrichtigt zu werden.
Coppola und ein Team von Forschenden aus den Gruppen der Professoren Srdjan Capkun und David Basin haben einen Vorschlag ausgearbeitet, der die Verbraucher:innen vor der Bedrohung durch potenzielle digitale Taschendieb:innen schützt. Die Lösung namens PURE (das Akronym steht für Payments with UWB Relay Protection) erweitert die bestehenden Protokolle für kontaktlose Zahlungen, indem sie zwei Verifikationsschritte hinzufügt, um sicherzustellen, dass sich eine legitime Zahlungskarte oder ein legitimes Zahlungsgerät sowie ein autorisiertes Zahlungsterminal tatsächlich in unmittelbarer Nähe zueinander befinden. Das Team wird seine Ergebnisse und die vorgeschlagene Lösung auf dem USENIX Security Symposium vom 14. bis zum 16. August 2024 in Philadelphia, USA, vorstellen.
UWB-Chips halten Betrüger:innen auf Abstand
Die EMV-Protokolle für kontaktlose Zahlungen, benannt nach ihren Erfindern Europay, Mastercard und Visa, sind seit 1994 in Gebrauch. Aber erst vor wenigen Jahren hat Mastercard Abwehrmassnahmen gegen Relais-Angriffe eingeführt. «Diese Schutzmechanismen sind jedoch nicht ausreichend, um alle möglichen Varianten von Relais-Angriffen zu verhindern. PURE schliesst diese Lücke, indem es eine sichere, schnelle und zuverlässige Verifizierung der tatsächlichen Entfernung ermöglicht», sagt Coppola.
«Gegenwärtige Schutzmechanismen sind nicht ausreichend, um alle möglichen Varianten von Relais-Angriffen zu verhindern. PURE schliesst diese Lücke, indem es eine sichere, schnelle und zuverlässige Verifizierung der tatsächlichen Entfernung ermöglicht.»Daniele Coppola
Zu diesem Zweck nutzt PURE die präzisen Entfernungsmessungsmöglichkeiten, die die Ultrabreitbandtechnologie (UWB) in mobilen und tragbaren Geräten bietet. UWB-Chips sind in den meisten modernen Smartphones und Wearables eingebaut, seit Apple sie 2019 mit der Markteinführung des iPhone 11 einsetzte. Die winzigen Funkchips senden ultrakurze Pulse elektromagnetischer Wellen, mit denen die Entfernung zu Geräten in der Nähe mit einer Fehlerspanne von weniger als zehn Zentimetern gemessen werden kann. In PURE passen die ETH-Forschenden die Technologie an den Kontext des kontaktlosen Bezahlens an. Das Bezahlgerät und das Terminal tauschen unvorhersagbare UWB-Pulse aus und verifizieren so ihre gegenseitige Nähe auf eine Weise, die auch vor einem raffinierten Angreifer sicher ist.
«Bei der derzeit für kontaktlose Zahlungen verwendeten Nahfeldkommunikations-technologie (NFC) könnten die beiden an einem Relais-Angriff beteiligten Kriminellen kilometerweit voneinander entfernt sein. Unser UWB-basiertes PURE-Protokoll reduziert mögliche Relais auf nur etwa 50 Zentimeter, was es dem Opfer leicht macht, auf die Betrüger:innen aufmerksam zu werden», sagt Coppola.
Sicherere und nur geringfügig langsamere Zahlungen
Darüber hinaus fügt sich PURE nahtlos in die aktuellen Standards für kontaktlose Zahlungen ein. Die an einer Transaktion beteiligten Parteien können diese Lösung nutzen, ohne ihre Backend-Systeme zu ändern. «In Bezug auf die Sicherheit bietet PURE stärkere Garantien als alternative Relais-Schutzmechanismen», sagt Coppola. Zudem ist die Verzögerung infolge der zwei zusätzlichen Verifizierungsschritte vernachlässigbar: nur etwa 40 Millisekunden, wie die Forschenden in einer Prototyp-Implementierung auf Smartphones für das Mastercard-Zahlungsnetz zeigten.
Allerdings gibt es ein potenzielles Hindernis für die breite Einführung von PURE: Die derzeitigen kontaktlosen Zahlungsterminals sind nicht mit UWB-Chips ausgestattet. Die Terminals müssten daher aufgerüstet oder ersetzt werden, bevor PURE in grossem Massstab eingeführt werden kann. Es besteht jedoch auch die Möglichkeit, PURE in vorhandene Technologien zu integrieren, zum Beispiel in Apples Tap to Pay, das jedes iPhone in ein Zahlungsterminal verwandelt.
Coppola weist auch darauf hin, dass PURE gegen eine bekannte Angriffsart sicher ist, die auf die UWB-Distanzmessung abzielt, um die Entfernung zwischen zwei Geräten zu fälschen. Dieser Angriff, bekannt als Ghost Peak, wurde 2022 von Forschenden aus der Gruppe von Professor Srdjan Capkun demonstriert. «Wir waren uns dieses Risikos bewusst und haben PURE so konzipiert, dass es gegen diese Art von Angriffen resistent ist», sagt Coppola.
Literaturhinweis
Daniele Coppola, Giovanni Camurati, Claudio Anliker, Xenia Hofmeier, Patrick Schaller, David Basin, and Srdjan Capkun: PURE: Payments with UWB RElay-protection. 33rd USENIX Security Symposium, 15. August 2024. externe SeitePaper