Abo
  • Services:
Anzeige
Auf der Sigint 2012 erklärt Philipp Mohr, dass Bezahlen per NFC nicht sicher ist.
Auf der Sigint 2012 erklärt Philipp Mohr, dass Bezahlen per NFC nicht sicher ist. (Bild: Jörg Thoma/Golem.de)

Bezahlsysteme: Paypass über NFC mit Lücken

Auf der Sigint 2012 erklärt Philipp Mohr, dass Bezahlen per NFC nicht sicher ist.
Auf der Sigint 2012 erklärt Philipp Mohr, dass Bezahlen per NFC nicht sicher ist. (Bild: Jörg Thoma/Golem.de)

Bezahlen per NFC ist sicher, sagen die Hersteller. Der Entwickler Philipp Mohr hat sich das Bezahlsystem genauer angesehen und kommt zu einem anderen Ergebnis. Er erklärt auf der Sigint 2012 auch, was ein Benutzer beachten muss, um einen Datenklau zu verhindern.

Bezahlen per NFC ist bei weitem nicht so sicher, wie es die Anbieter sagen, berichtet der Entwickler Philipp Mohr auf der Sigint 2012 in Köln. Transaktionen können ohne direkten Zugriff mitverfolgt werden, sogar wenn das Smartphone in der Tasche des Opfers bleibt. Damit lassen sich Karten nachmachen und ohne Genehmigung des Opfers weiter nutzen. Einige Vorkehrungen können Anwender jedoch treffen, um den Datenklau zu verhindern.

Anzeige

Das Bezahlsystem über NFC basiert auf Paypass, das von Mastercard entwickelt und auf dessen Kreditkarten eingesetzt wird. Bislang zogen sowohl Visa als auch American Express nach. Inzwischen wird Paypass auch in Deutschland angeboten. Alle Anbieter verwenden allerdings das gleiche Paypass-Verfahren. Google hat mit Wallet ebenfalls ein Bezahlsystem für NFC eingeführt, das bislang nur auf Karten der Citibank eingesetzt wird oder über Prepaid-Karten, die Google selbst verkauft.

Keine PIN bei geringen Beiträgen

Bei Transaktionen mit Visa und Co. mit Beträgen unter 25 Euro wird der Betrag automatisch abgebucht. Liegt der Betrag darüber, muss eine PIN eingegeben werden. Google Wallet verlangt stets eine PIN-Eingabe.

NFC-Chips verwenden lediglich eine einzige Frequenz, die bei 13,56 MHz liegt. Außerdem ist NFC nur für sehr kurze Distanzen konzipiert, die Karte muss also mehr oder weniger auf den Leser gelegt werden. NFC nutzt RFID-Technik, etwa mit passiven RFID-Tags nach ISO 14443 sowie ISO 15693 oder aktiv nach ISO 18092.

Selbstgebaute Kartenleser

Geschützt werden die Daten auf den Karten und in den Smartphones mit den sogenannten CVC3-Codes, die eine 112-Bit-Verschlüsselung verwenden. Der 16 Byte lange Schlüssel ist weitgehend sicher, sagte Mohr. Außerdem könnten die dynamischen CVC3-Codes nicht automatisch generiert werden. Allerdings hätten fast alle Karten eine 7 Byte lange Kennung. Daher könnten Kartenleser recht einfach nachgebaut werden, um zumindest teilweise Informationen auszulesen.

NFC-Kartenleser verwenden zwei Profile: Magstripe und M/Chip (Chip and PIN), wobei Letzteres besser verschlüsselt ist. Eine echte Authentifizierung zwischen Karte und Leser findet aber nicht statt. Dadurch lassen sich auch Transaktionen aufzeichnen und später möglicherweise über Replay-Angriffe nachbilden.

Mit fremden Daten zahlen 

eye home zur Startseite
FoVITIS 16. Nov 2013

1. Beitrag existiert nicht (mehr) 2. Gut das einige Anbieter die normalen...

Sharra 20. Mai 2012

Aus gutem Grund ist in den Allgemeinen Geschäftsbedingungen der Banken ausdrücklich...



Anzeige

Stellenmarkt
  1. Daimler AG, Germersheim
  2. Alfred Kärcher GmbH & Co. KG, Winnenden bei Stuttgart
  3. Daimler AG, Stuttgart-Untertürkheim
  4. Osmo Holz und Color GmbH & Co. KG, Göttingen


Anzeige
Blu-ray-Angebote
  1. (u. a. Der Hobbit 3, Der Polarexpress, Ice Age, Pan, Life of Pi)
  2. (u. a. Interstellar, Maze Runner, Kingsman, 96 Hours)
  3. (u. a. John Wick, Leon der Profi, Auf der Flucht, Das Schweigen der Lämmer)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Petya-Variante

    Goldeneye-Ransomware verschickt überzeugende Bewerbungen

  2. Sony

    Mehr als 50 Millionen Playstation 4 verkauft

  3. Weltraumroboter

    Ein R2D2 für Satelliten

  4. 300 MBit/s

    Warum Super Vectoring bei der Telekom noch so lange dauert

  5. Verkehrssteuerung

    Audi vernetzt Autos mit Ampeln in Las Vegas

  6. Centriq 2400

    Qualcomm zeigt eigene Server-CPU mit 48 ARM-Kernen

  7. VG Wort Rahmenvertrag

    Unis starten in die Post-Urheberrecht-Ära

  8. Ultrastar He12

    WD plant Festplatten mit bis zu 14 Terabyte

  9. LG

    Weitere Hinweise auf Aufgabe des bisherigen Modulsystems

  10. Onlinewerbung

    Forscher stoppen monatelange Malvertising-Kampagne



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  2. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  3. Pornoseite Xhamster spricht von Fake-Leak

Gear S3 im Test: Großes Display, großer Akku, große Uhr
Gear S3 im Test
Großes Display, großer Akku, große Uhr
  1. In der Zuliefererkette Samsung und Panasonic sollen Arbeiter ausgebeutet haben
  2. Vernetztes Auto Samsung kauft Harman für 8 Milliarden US-Dollar
  3. 10LPU und 14LPU Samsung mit günstigerem 10- und schnellerem 14-nm-Prozess

Robot Operating System: Was Bratwurst-Bot und autonome Autos gemeinsam haben
Robot Operating System
Was Bratwurst-Bot und autonome Autos gemeinsam haben
  1. Roboterarm Dobot M1 - der Industrieroboter für daheim
  2. Roboter Laundroid faltet die Wäsche
  3. Fahrbare Roboter Japanische Firmen arbeiten an Transformers

  1. Re: Und jetzt Tie-Fighter bitte komplett in VR... o.0

    otraupe | 17:11

  2. Re: Ergänzung...

    Muhaha | 17:11

  3. Re: Mal weiterdenken...

    Muhaha | 17:09

  4. Personalabteilungen sind ein Super Ziel

    Mopsmelder500 | 17:08

  5. Re: Die Gefahr ist dennoch real!

    IchBIN | 17:06


  1. 17:04

  2. 16:33

  3. 16:10

  4. 15:54

  5. 15:50

  6. 15:40

  7. 15:34

  8. 14:43


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel