Sicherheit

Android-App spioniert über NFC

von - 27.06.2012
Android-App spioniert über NFC
Derzeit stellen viele Finanzunternehmen auf das berührungslose Bezahlen über NFC-Chips um. Doch offenbar ist das Bezahlsystem bei weitem nicht so sicher, wie Hersteller und Geldinstitute behaupten.
Auf der Integralis Security World am 19. und 20. Juni 2012 stellte der Sicherheitsexperte Thomas Skora eine selbst entwickelte App vor. Mit dieser lassen sich über NFC (Near field communication) Informationen von Paypass-Karten (Mastercard) und Girogo-Karten (Sparkasse) auslesen, berichtet golem.de. Die App mit dem Namen Paycardreader kann auf einem NFC-fähigen Smartphone Kartennummer, Gültigkeitsdauer, Transaktionen und die Identifikationsnummern der Händler oder der Transaktionsterminals ausspionieren.
Google hat die App inzwischen aus Google Play entfernt. Auch der zuerst bei Github veröffentlichte Quellcode ist nicht mehr abrufbar. Skora will das Programm aber demnächst wieder als APK-Datei zum Download anbieten.
Skora ist nicht der Einzige, der auf die Schwächen des NFC-Bezahlsystems hinweist. Der Entwickler Andreas Schiermeier vom Frankfurter Chaos Computer Club kritisierte, dass bei jeder Transaktion „ein Datums- und Zeitstempel, der Betrag und die Kennung des Händlers oder des Ladeterminals hinterlegt“ wird. Auch er will es mit einer kostenlosen Windows-Software und einem NFC-Lesegerät geschafft haben, die unverschlüsselten Daten vom Chip zu herunterzuladen.
Welche Gefahr besteht tatsächlich?Noch ist umstritten, inwiefern mit diesen Daten überhaupt Missbrauch getrieben werden kann. Die Vertreter der Sparkassen sehen darin überhaupt keine Gefahr, da die Daten nicht an Personen gebunden seien. Was aber ist, wenn der Kunde neben seiner funkenden EC-Karte eine weitere, drahtlose und auslesbare Karte, wie eine Tankstellen-Payback-Karte bei sich trägt, die personenbezogene Daten speichert? Nach Meinung des Datenschutzbeauftragten Thilo Weichert wäre das eine Basis, um Einkaufs- und Bewegungsprofile zu erstellen. Andere Datenschützer sehen die Gefahr darin, dass immer mehr Smartphones mit einem NFC-Chip ausgestattet werden. Sie rechnen mit der Entwicklung manipulierter Apps, die unverschlüsselte Daten auslesen und mit personenbezogenen Daten verbinden könnten.
Die Gefahr unberechtigter Abbuchungen besteht nach Meinung der Kreditinstitute kaum. Mit den erbeuteten Daten lassen sich Kreditkarten nicht fälschen. Zudem verlangen die meisten Online-Shops den dreistelligen Sicherheitscode auf der Rückseite der Kreditkarte. Dieser ist nicht über NFC auslesbar. Wenn ein Online-Händler auf den Sicherheitscode verzichtet, trägt er selber das Risiko. Der betroffene Kartenbesitzer muss den Schaden also nicht zahlen. Allerdings dürfte die Rückforderung der Zahlung mit einigem Aufwand und Ärger verbunden sein. Deshalb ist es ratsam, nur bei Online-Shops einzukaufen, die zusätzlich den Sicherheitscode verlangen.
Verwandte Themen