Sicherheitslücke in Google Wallet geschlossen

Michael Roland, der für//www.nfc-research.at/&ei=-o-GUL27IIaD4gSvqoDYDA&usg=AFQjCNF0Wh3SB49LzgFTdOYqjmdT1qtQbw: //www.nfc-research.at/&ei=-o-GUL27IIaD4gSvqoDYDA&usg=AFQjCNF0Wh3SB49LzgFTdOYqjmdT1qtQbw:NFC-Research Labs an der FH Oberösterreich in Hagenberg tätig ist, hat sich im Rahmen seiner Doktorarbeit unter anderem mit den Sicherheitsrisiken von Handys mit Near Field Communication (NFC) beschäftigt. Laut dem Onlinemagazin futurezone.at nahm der Wissendschaftler dabei besonders //www.google.com/wallet/&ei=oo-GUOSFM_HV4QSxnIGoCA&usg=AFQjCNFcOFmQ7d2uzvxJsK9ffXr9InNSJg:Google Wallet ins Visier. Eine Smartphone-App ermöglicht hier unkompliziertes bargeldloses Einkaufen mit virtuellen Kredit-, Kunden- und Geschenkkarten. Allerdings erbrachte Roland jetzt den Beweis, dass die NFC-Chips nicht so sicher sind, wie von den Herstellern behauptet. Er entwickelte ein Gerät, das Chipkarten nachahmen kann, und führte vor, wie er sich darüber in Zahlvorgänge einklinken konnte.

Im Prinzip funktioniert es so: Zahlungsanfragen, die von einem Lesegerät beziehungsweise einem Terminal gesendet werden, gehen drahtlos und in Echtzeit über das Internet an ein mit Schadcode infiziertes Smartphone. Von diesem aus wird dann die Kreditkarte abgefragt. Die Antwort geht dann zurück an das Lesegerät beim Hacker. Auf diese Weise können sich Unberechtigte theoretisch jederzeit Zugang zu fremden Kreditkarten verschaffen und damit bezahlen. Der Wissenschaftler hat diese Lücke allerdings nicht zu seinem eigenen Vorteil ausgenutzt, sondern Google sofort von seiner Entdeckung informiert.

Google hat die Sicherheitslücke dann sehr schnell mit einem Wallet-Update gestopft. Da Michael Roland auch maßgeblich an der Lösung des Problems mitgearbeitet hat, belohnte Google den Studenten mit einer Aufnahme in die „Hall of Fame“ für Sicherheit.

Michael Roland sieht aber nicht nur bei Google Wallet Probleme mit NFC-Chips. Er hält die Bezahlung über Mobiltelefone grundsätzlich für riskant, auch wenn die Chips selbst sicher sind. Die Gefahr besteht darin, dass Angreifer extern oder über Apps darauf zugreifen können. Darin sieht er für Angreifer ganz neue Möglichkeiten des Datendiebstahls. Beispielsweise ist es über sticker-ähnliche NFC-Tags möglich, eine App automatisch zu starten. Unbefugte können so über fremde Handys Nachrichten verschicken oder sich in WLAN-Netzwerke einhacken. Dazu genügt es schon, ein Smartphone gegen einen NFC-Tag zu halten.

Der vom NFC Forum festgelegte Standard zum Schutz vor Manipulation der NFC-Tags reicht laut Roland nicht aus, um die Sicherheit zu gewährleisten. Aber Roland arbeitet bereits an einer Lösung. Noch ist diese eher akademischer Natur. Sollte das Ganze sich aber als praxistauglich erweisen, ist der Forscher zuversichtlich. Er rechnet damit, dass Hersteller dann den neuen Standard in ihren Smartphones implementieren.