Anzeige
Auf der Sigint 2012 erklärt Philipp Mohr, dass Bezahlen per NFC nicht sicher ist.
Auf der Sigint 2012 erklärt Philipp Mohr, dass Bezahlen per NFC nicht sicher ist. (Bild: Jörg Thoma/Golem.de)

Bezahlsysteme Paypass über NFC mit Lücken

Bezahlen per NFC ist sicher, sagen die Hersteller. Der Entwickler Philipp Mohr hat sich das Bezahlsystem genauer angesehen und kommt zu einem anderen Ergebnis. Er erklärt auf der Sigint 2012 auch, was ein Benutzer beachten muss, um einen Datenklau zu verhindern.

Anzeige

Bezahlen per NFC ist bei weitem nicht so sicher, wie es die Anbieter sagen, berichtet der Entwickler Philipp Mohr auf der Sigint 2012 in Köln. Transaktionen können ohne direkten Zugriff mitverfolgt werden, sogar wenn das Smartphone in der Tasche des Opfers bleibt. Damit lassen sich Karten nachmachen und ohne Genehmigung des Opfers weiter nutzen. Einige Vorkehrungen können Anwender jedoch treffen, um den Datenklau zu verhindern.

Das Bezahlsystem über NFC basiert auf Paypass, das von Mastercard entwickelt und auf dessen Kreditkarten eingesetzt wird. Bislang zogen sowohl Visa als auch American Express nach. Inzwischen wird Paypass auch in Deutschland angeboten. Alle Anbieter verwenden allerdings das gleiche Paypass-Verfahren. Google hat mit Wallet ebenfalls ein Bezahlsystem für NFC eingeführt, das bislang nur auf Karten der Citibank eingesetzt wird oder über Prepaid-Karten, die Google selbst verkauft.

Keine PIN bei geringen Beiträgen

Bei Transaktionen mit Visa und Co. mit Beträgen unter 25 Euro wird der Betrag automatisch abgebucht. Liegt der Betrag darüber, muss eine PIN eingegeben werden. Google Wallet verlangt stets eine PIN-Eingabe.

NFC-Chips verwenden lediglich eine einzige Frequenz, die bei 13,56 MHz liegt. Außerdem ist NFC nur für sehr kurze Distanzen konzipiert, die Karte muss also mehr oder weniger auf den Leser gelegt werden. NFC nutzt RFID-Technik, etwa mit passiven RFID-Tags nach ISO 14443 sowie ISO 15693 oder aktiv nach ISO 18092.

Selbstgebaute Kartenleser

Geschützt werden die Daten auf den Karten und in den Smartphones mit den sogenannten CVC3-Codes, die eine 112-Bit-Verschlüsselung verwenden. Der 16 Byte lange Schlüssel ist weitgehend sicher, sagte Mohr. Außerdem könnten die dynamischen CVC3-Codes nicht automatisch generiert werden. Allerdings hätten fast alle Karten eine 7 Byte lange Kennung. Daher könnten Kartenleser recht einfach nachgebaut werden, um zumindest teilweise Informationen auszulesen.

NFC-Kartenleser verwenden zwei Profile: Magstripe und M/Chip (Chip and PIN), wobei Letzteres besser verschlüsselt ist. Eine echte Authentifizierung zwischen Karte und Leser findet aber nicht statt. Dadurch lassen sich auch Transaktionen aufzeichnen und später möglicherweise über Replay-Angriffe nachbilden.

Mit fremden Daten zahlen 

eye home zur Startseite
FoVITIS 16. Nov 2013

1. Beitrag existiert nicht (mehr) 2. Gut das einige Anbieter die normalen...

Sharra 20. Mai 2012

Aus gutem Grund ist in den Allgemeinen Geschäftsbedingungen der Banken ausdrücklich...

Kommentieren



Anzeige

  1. Deputy Business System Owner BPM/PM Tool (m/w)
    Daimler AG, Stuttgart
  2. SAP Inhouse Consultant / Leiter ERP Systeme (m/w)
    über Hanseatisches Personalkontor Ulm, Raum Geislingen an der Steige
  3. Leitung IT-Prozesse / Anwendungen (m/w)
    ERDINGER Weißbräu, Erding
  4. Software Engineer - Javascript Entwickler (m/w)
    Mindlab Solutions GmbH, Stuttgart

Detailsuche



Anzeige
Blu-ray-Angebote
  1. TV-Serien Einstieg auf Blu-ray reduziert
    (u. a. Arrow, Hannibal, The Originals, Banshee, The Big Bang Theory, Silicon Valley)
  2. NEU: The Revenant - Der Rückkehrer (+ 4K Ultra HD-Blu-ray)
    29,99€
  3. Blu-rays zum Sonderpreis
    (u. a. Codename U.N.C.L.E 8,94€, Chappie 9,97€, San Andreas 9,99€, Skyfall 6,19€)

Weitere Angebote


Folgen Sie uns
       


  1. Kupferkabel

    M-net setzt im Kupfernetz schnelles G.fast ein

  2. Facebook

    EuGH könnte Datentransfer in die USA endgültig stoppen

  3. Prozessoren

    Intel soll in Deutschland Abbau von 350 Stellen planen

  4. CCIX

    Ein Interconnect für alle

  5. Service

    Telekom-Chef kündigt Techniker-Termine am Samstag an

  6. Ausstieg

    Massenentlassungen in Microsofts Smartphone-Sparte

  7. Verbot von Geoblocking

    Brüssel will europäischen Online-Handel ankurbeln

  8. Konkurrenz zu DJI

    Xiaomi mit Kampfpreis für Mi-Drohne

  9. Security-Studie

    Mit Schokolade zum Passwort

  10. Lenovo

    Moto G4 kann doch mit mehr Speicher bestellt werden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi5 im Test: Das fast perfekte Top-Smartphone
Xiaomi Mi5 im Test
Das fast perfekte Top-Smartphone
  1. YI 4K Xiaomi greift mit 4K-Actionkamera GoPro an

Hyperloop Global Challenge: Jeder will den Rohrpostzug
Hyperloop Global Challenge
Jeder will den Rohrpostzug
  1. Hyperloop One Der Hyperloop fährt - wenn auch nur kurz
  2. Inductrack Hyperloop schwebt ohne Strom
  3. Hyperloop Die Slowakei will den Rohrpostzug

Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. id Software Doom wird Vulkan unterstützen
  2. Id Software PC-Spieler müssen 45 GByte von Steam laden
  3. id Software Dauertod in Doom

  1. Re: Wurden die Passwörter überprüft ?

    jayjay | 22:42

  2. Re: Danke amazon! Danke netflix! Danke maxdome!

    Danse Macabre | 22:39

  3. Re: warum soll die cpu 100w nicht ueberschreiten

    derats | 22:36

  4. Wie soll das funktionieren?

    jjo | 22:35

  5. Re: Schaut wer noch Fernsehen?

    Danse Macabre | 22:35


  1. 18:48

  2. 17:49

  3. 17:32

  4. 16:54

  5. 16:41

  6. 15:47

  7. 15:45

  8. 15:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel