Auf der
Integralis Security World am 19. und 20. Juni 2012 stellte der Sicherheitsexperte Thomas Skora eine selbst entwickelte App vor. Mit dieser lassen sich über NFC (Near field communication) Informationen von Paypass-Karten (Mastercard) und Girogo-Karten (Sparkasse) auslesen, berichtet
golem.de. Die App mit dem Namen
Paycardreader kann auf einem NFC-fähigen Smartphone Kartennummer, Gültigkeitsdauer, Transaktionen und die Identifikationsnummern der Händler oder der Transaktionsterminals ausspionieren.
Google hat die App inzwischen aus Google Play entfernt. Auch der zuerst bei Github veröffentlichte Quellcode ist nicht mehr abrufbar. Skora will das Programm aber demnächst wieder als APK-Datei zum Download anbieten.
Skora ist nicht der Einzige, der auf die Schwächen des NFC-Bezahlsystems hinweist. Der Entwickler Andreas Schiermeier vom Frankfurter Chaos Computer Club kritisierte, dass bei jeder Transaktion „ein Datums- und Zeitstempel, der Betrag und die Kennung des Händlers oder des Ladeterminals hinterlegt“ wird. Auch er will es mit einer kostenlosen Windows-Software und einem NFC-Lesegerät geschafft haben, die unverschlüsselten Daten vom Chip zu herunterzuladen.
Welche Gefahr besteht tatsächlich?Noch ist umstritten, inwiefern mit diesen Daten überhaupt Missbrauch getrieben werden kann. Die Vertreter der Sparkassen sehen darin überhaupt keine Gefahr, da die Daten nicht an Personen gebunden seien. Was aber ist, wenn der Kunde neben seiner funkenden EC-Karte eine weitere, drahtlose und auslesbare Karte, wie eine Tankstellen-Payback-Karte bei sich trägt, die personenbezogene Daten speichert? Nach Meinung des
Datenschutzbeauftragten Thilo Weichert wäre das eine Basis, um Einkaufs- und Bewegungsprofile zu erstellen. Andere Datenschützer sehen die Gefahr darin, dass immer mehr Smartphones mit einem NFC-Chip ausgestattet werden. Sie rechnen mit der Entwicklung manipulierter Apps, die unverschlüsselte Daten auslesen und mit personenbezogenen Daten verbinden könnten.