Auf der Sigint 2012 erklärt Philipp Mohr, dass Bezahlen per NFC nicht sicher ist.
Auf der Sigint 2012 erklärt Philipp Mohr, dass Bezahlen per NFC nicht sicher ist. (Bild: Jörg Thoma/Golem.de)

Bezahlsysteme Paypass über NFC mit Lücken

Bezahlen per NFC ist sicher, sagen die Hersteller. Der Entwickler Philipp Mohr hat sich das Bezahlsystem genauer angesehen und kommt zu einem anderen Ergebnis. Er erklärt auf der Sigint 2012 auch, was ein Benutzer beachten muss, um einen Datenklau zu verhindern.

Anzeige

Bezahlen per NFC ist bei weitem nicht so sicher, wie es die Anbieter sagen, berichtet der Entwickler Philipp Mohr auf der Sigint 2012 in Köln. Transaktionen können ohne direkten Zugriff mitverfolgt werden, sogar wenn das Smartphone in der Tasche des Opfers bleibt. Damit lassen sich Karten nachmachen und ohne Genehmigung des Opfers weiter nutzen. Einige Vorkehrungen können Anwender jedoch treffen, um den Datenklau zu verhindern.

Das Bezahlsystem über NFC basiert auf Paypass, das von Mastercard entwickelt und auf dessen Kreditkarten eingesetzt wird. Bislang zogen sowohl Visa als auch American Express nach. Inzwischen wird Paypass auch in Deutschland angeboten. Alle Anbieter verwenden allerdings das gleiche Paypass-Verfahren. Google hat mit Wallet ebenfalls ein Bezahlsystem für NFC eingeführt, das bislang nur auf Karten der Citibank eingesetzt wird oder über Prepaid-Karten, die Google selbst verkauft.

Keine PIN bei geringen Beiträgen

Bei Transaktionen mit Visa und Co. mit Beträgen unter 25 Euro wird der Betrag automatisch abgebucht. Liegt der Betrag darüber, muss eine PIN eingegeben werden. Google Wallet verlangt stets eine PIN-Eingabe.

NFC-Chips verwenden lediglich eine einzige Frequenz, die bei 13,56 MHz liegt. Außerdem ist NFC nur für sehr kurze Distanzen konzipiert, die Karte muss also mehr oder weniger auf den Leser gelegt werden. NFC nutzt RFID-Technik, etwa mit passiven RFID-Tags nach ISO 14443 sowie ISO 15693 oder aktiv nach ISO 18092.

Selbstgebaute Kartenleser

Geschützt werden die Daten auf den Karten und in den Smartphones mit den sogenannten CVC3-Codes, die eine 112-Bit-Verschlüsselung verwenden. Der 16 Byte lange Schlüssel ist weitgehend sicher, sagte Mohr. Außerdem könnten die dynamischen CVC3-Codes nicht automatisch generiert werden. Allerdings hätten fast alle Karten eine 7 Byte lange Kennung. Daher könnten Kartenleser recht einfach nachgebaut werden, um zumindest teilweise Informationen auszulesen.

NFC-Kartenleser verwenden zwei Profile: Magstripe und M/Chip (Chip and PIN), wobei Letzteres besser verschlüsselt ist. Eine echte Authentifizierung zwischen Karte und Leser findet aber nicht statt. Dadurch lassen sich auch Transaktionen aufzeichnen und später möglicherweise über Replay-Angriffe nachbilden.

Mit fremden Daten zahlen 

FoVITIS 16. Nov 2013

1. Beitrag existiert nicht (mehr) 2. Gut das einige Anbieter die normalen...

Sharra 20. Mai 2012

Aus gutem Grund ist in den Allgemeinen Geschäftsbedingungen der Banken ausdrücklich...

Kommentieren



Anzeige

  1. Softwareingenieure / Softwarearchitekten (m/w)
    Accso - Accelerated Solutions GmbH, München
  2. Senior-Entwicklungsingenieur Standard Software FLEXRAY (m/w)
    MBtech Group GmbH & Co. KGaA, Sindelfingen
  3. IT-Architekt/-in für SAP-Logistiksysteme
    Daimler AG, Sindelfingen
  4. Scout Digital Technologies (m/w)
    UnternehmerTUM GmbH, Garching bei München

 

Detailsuche


Top-Angebote
  1. Blu-rays je 8,97 EUR
    (u. a. The Wolf of Wall Street, 12 Years a Slave, American Hustle, Prisoners)
  2. TIPP: Blu-rays je 5 EUR
    (u. a. Dead Man Running, Romance & Cigarettes, Legendary, Tad Stones)
  3. NEU: Samsung Ultra HD-Monitor U28D590D LED UHD TN
    327,99€ inkl. Versand

 

Weitere Angebote


Folgen Sie uns
       


  1. Smartwatch

    Android Wear soll bald mit iOS sprechen

  2. HTC Re Vive ausprobiert

    Räumt schon mal die Keller leer

  3. Big Maxwell

    Nvidias Geforce GTX Titan X bietet 12 GByte Videospeicher

  4. EU-Datenschutzreform

    Verbraucherschützer warnen vor "Ausverkauf" der Nutzerrechte

  5. DSL/Mobilfunk

    O2 hält Watchever-Nutzung trotz Drosselung für möglich

  6. Anhörung im Bundestag

    Leistungsschutzrecht findet Unterstützer

  7. Branchenbuch

    Was Google und Bing nicht anzeigen, ist wertlos

  8. Globales Transportnetz

    China will längsten Tunnel am Meeresgrund bauen

  9. Google

    Chrome-Support für Android 4.0 wird eingestellt

  10. Valve

    Kostenlose Source-2-Engine bietet Vulkan-Unterstützung



Haben wir etwas übersehen?

E-Mail an news@golem.de



Galaxy S6 und S6 Edge im Hands on: Rund, schnell, teuer
Galaxy S6 und S6 Edge im Hands on
Rund, schnell, teuer
  1. Galaxy S6 und Edge-Variante Samsungs neue Top-Smartphones im Glaskleid
  2. Exynos 7 Octa Schneller Prozessor des Galaxy S6 wird in 14 nm gefertigt
  3. Qualcomm-Prozessor LG widerspricht Hitzeproblemen beim Snapdragon 810

Star Citizen: Grafiktricks und galaktisch zerstörte Toiletten
Star Citizen
Grafiktricks und galaktisch zerstörte Toiletten
  1. Squadron 42 Kampagne von Star Citizen startet im Herbst 2015
  2. Star Citizen Galaktisches Update mit Lobby, Raketen und Cockpits

MWC-Tagesrückblick im Video: Chromatische Aberrationen und Dank an die Kollegen von Heise
MWC-Tagesrückblick im Video
Chromatische Aberrationen und Dank an die Kollegen von Heise
  1. Leap Blackberry stellt Smartphone ohne Hardwaretastatur vor
  2. So groß wie ein Smartphone Huawei zeigt kompaktes Android-Tablet mit Telefoniefunktion
  3. Alcatel Onetouch Watch Runde Smartwatch wird doch teurer

  1. Guter Ansatz, schlechter Ansatz

    mag | 01:10

  2. Re: "Zumindest kleineren Erdstößen sollte der...

    teenriot* | 00:54

  3. Re: Befürchtungen

    mag | 00:53

  4. Re: Wurde das Gerät nun gehackt aus der Ferne ?

    HansHorstensen | 00:52

  5. Re: 12 oder 11,5? (kwT)

    Gucky | 00:51


  1. 22:28

  2. 21:33

  3. 21:22

  4. 19:04

  5. 18:51

  6. 17:08

  7. 16:52

  8. 16:14


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel