Sicherheit
Von wegen sicher: Bezahlen über NFC
von
Thorsten
Eggeling - 23.05.2012
Offenbar ist das Bezahlen über NFC nicht so sicher, wie die Anbieter behaupten. Philipp Mohr hat sich das System genauer angesehen und auf der Sigint 2012 in Köln über die Schwachstellen aufgeklärt.
Bei Near Field Communication (NFC) handelt es sich um einen internationalen Standard. Dabei werden Daten kontaktlos über einen Abstand von bis zu 4 cm übertragen. Bisher wird dieses Verfahren vor allem in Lösungen für den bargeldlosen Zahlungsverkehr (Micropayment) ohne PIN bei Geldbeträgen bis 25 Euro verwendet. NFC gehört bereits in vielen Ländern als Bezahlfunktion übers Handy zum Alltag. Der NFC-Chip ist im Handy selbst verbaut oder in der SIM-Karte enthalten.
Der Entwickler Philipp Mohr hat nun auf der Sigint 2012 in Köln einige Schwachstellen an dem angeblich sicheren Bezahl-System aufgedeckt, berichtet golem.de. Mohr fand heraus, dass Transaktionen von außen abhörbar sind, ohne dass ein Unbefugter direkten Zugriff auf das Gerät hat. Das ist sogar möglich, wenn sich das Handy in einer Tasche befindet. Dazu muss ein Kartenleser nur nahe genug positioniert sein. Schutz bieten hier nur spezielle RFID-Blocker beziehungsweise Handytaschen mit einer Metallabschirmung.
Die Daten auf den Karten und in den Smartphones werden mit einem 112-Bit-CVC3-Code verschlüsselt. Dabei ist laut Mohr der 16 Byte lange Schlüssel ziemlich sicher, zumal die dynamischen CVC3-Codes nicht automatisch generiert werden können. Die meisten Karten verfügen jedoch über eine 7 Byte lange Kennung. Das ermöglicht einen einfachen Nachbau von Kartenlesern, mit denen Zugriffe auf Informationen möglich sind. Da eine echte Authentifizierung zwischen Karte und Leser nicht stattfindet, lassen sich auch die Transaktionen aufzeichnen. Auf diese Weise können unter Umständen Replay-Angriffe für den Missbrauch genutzt werden.
Mohr empfiehlt Personen, die mit diesem System bezahlen wollen, den Anmeldebildschirm auf ihrem Smartphone zu aktivieren. Dadurch wird gleichzeitig der NFC-Chip deaktiviert, wenn das mobile Telefon nicht benutzt wird. Ein weiterer Tipp ist, den Timeout in der Bezahl-Applikation nach jeder Transaktion herunter zu setzen. Auch sollte das Gerät niemals gerootet werden, weil dadurch PINs ausgelesen werden können. Das zumindest behauptet ein Blogger bei Zvelo. Dem widerspricht Google. Es sei auch dann unmöglich, die PIN auszulesen.
