Bezahlsysteme Paypass über NFC mit Lücken

Bezahlen per NFC ist sicher, sagen die Hersteller. Der Entwickler Philipp Mohr hat sich das Bezahlsystem genauer angesehen und kommt zu einem anderen Ergebnis. Er erklärt auf der Sigint 2012 auch, was ein Benutzer beachten muss, um einen Datenklau zu verhindern.

Anzeige

Bezahlen per NFC ist bei weitem nicht so sicher, wie es die Anbieter sagen, berichtet der Entwickler Philipp Mohr auf der Sigint 2012 in Köln. Transaktionen können ohne direkten Zugriff mitverfolgt werden, sogar wenn das Smartphone in der Tasche des Opfers bleibt. Damit lassen sich Karten nachmachen und ohne Genehmigung des Opfers weiter nutzen. Einige Vorkehrungen können Anwender jedoch treffen, um den Datenklau zu verhindern.

Das Bezahlsystem über NFC basiert auf Paypass, das von Mastercard entwickelt und auf dessen Kreditkarten eingesetzt wird. Bislang zogen sowohl Visa als auch American Express nach. Inzwischen wird Paypass auch in Deutschland angeboten. Alle Anbieter verwenden allerdings das gleiche Paypass-Verfahren. Google hat mit Wallet ebenfalls ein Bezahlsystem für NFC eingeführt, das bislang nur auf Karten der Citibank eingesetzt wird oder über Prepaid-Karten, die Google selbst verkauft.

Keine PIN bei geringen Beiträgen

Bei Transaktionen mit Visa und Co. mit Beträgen unter 25 Euro wird der Betrag automatisch abgebucht. Liegt der Betrag darüber, muss eine PIN eingegeben werden. Google Wallet verlangt stets eine PIN-Eingabe.

NFC-Chips verwenden lediglich eine einzige Frequenz, die bei 13,56 MHz liegt. Außerdem ist NFC nur für sehr kurze Distanzen konzipiert, die Karte muss also mehr oder weniger auf den Leser gelegt werden. NFC nutzt RFID-Technik, etwa mit passiven RFID-Tags nach ISO 14443 sowie ISO 15693 oder aktiv nach ISO 18092.

Selbstgebaute Kartenleser

Geschützt werden die Daten auf den Karten und in den Smartphones mit den sogenannten CVC3-Codes, die eine 112-Bit-Verschlüsselung verwenden. Der 16 Byte lange Schlüssel ist weitgehend sicher, sagte Mohr. Außerdem könnten die dynamischen CVC3-Codes nicht automatisch generiert werden. Allerdings hätten fast alle Karten eine 7 Byte lange Kennung. Daher könnten Kartenleser recht einfach nachgebaut werden, um zumindest teilweise Informationen auszulesen.

NFC-Kartenleser verwenden zwei Profile: Magstripe und M/Chip (Chip and PIN), wobei Letzteres besser verschlüsselt ist. Eine echte Authentifizierung zwischen Karte und Leser findet aber nicht statt. Dadurch lassen sich auch Transaktionen aufzeichnen und später möglicherweise über Replay-Angriffe nachbilden.

Mit fremden Daten zahlen 
Kommentarübersicht
Re: mit dem smartphone bezahlen
Sharra 20. Mai 2012

Aus gutem Grund ist in den Allgemeinen Geschäftsbedingungen der Banken ausdrücklich...

NFC-Daten abgreifen ganz einfach
tilt2012 19. Mai 2012

Bei WISO im ZDF haben sie das im April gezeigt http://www.zdf.de/ZDFmediathek/beitrag...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Applikationsadministrator/-in
    Universitätsklinikum Leipzig, Leipzig
  2. IT-Projektmanager (m/w) Automobil-Handel
    ADP Dealer Services Deutschland GmbH, Stuttgart
  3. (Junior) IT Berater (m/w) Java / Datenbank-Entwicklung
    cimt ag, Düsseldorf
  4. Projektleiter/in SAP FI/CO mit Modulbetreuung
    Deutsche Welle, Bonn

 

Detailsuche

Folgen Sie uns
       
Videos
Google Maps für Android und iOS mit neuen Funktionen Google Maps für Android und iOS mit neuen Funktionen
Ticker
  1. Video

    Yahoo gibt Angebot für Hulu ab

  2. Google X

    Google baut mobiles Internet in Afrika und Südostasien

  3. Xbox One

    Handel muss Gebrauchtspiele de-registrieren

  4. Lenovo

    "Wir können uns jede Übernahme leisten"

  5. Bundesdatenschützer

    Jobcenter sollen nicht bei Facebook recherchieren

  6. Navigation

    Google Maps erhält Routenplanung per Fahrrad

  7. Test Call of Juarez Gunslinger

    Hör-Spiel im Wilden Westen

  8. Fonic All-Net Flat

    Telefon-, SMS- und Datenflatrate für 25 Euro

  9. Drosselung

    Die Mär vom teuren Traffic oder wie viel kostet ein GByte?

  10. Telekom

    Bundestagspetition gegen Drosselung erreicht 50.000

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Amazon
Seattle Campus: Amazon baut sich einen Wald in riesigen Glaskugeln
Seattle Campus
Amazon baut sich einen Wald in riesigen Glaskugeln

Nach einem Entwurf des Architekturbüros NBBJ will Amazon eine extravagante neue Konzernzentrale bestehend aus drei riesigen Gewächshauskugeln und Bürohochhäusern errichten.

  1. Amazon Coins Amazon bringt virtuelle Währung auf Kindle Fire
  2. Cloud Drive Photos Amazon schickt Fotos auf dem iPhone in die Cloud
  3. Quartalsbericht Amazon gibt 3,2 Milliarden Dollar für Lager und Filme aus
Open Source
München: Limux bleibt technisch anspruchsvoll
München
Limux bleibt technisch anspruchsvoll

Linuxtag 2013 Das Limux-Projekt geht in den Regelbetrieb über. Viel Arbeit fällt bei der Umstellung der Münchner Stadtverwaltung auf Linux trotzdem noch an - für die Techniker und die Stadtverwaltung, die eine Strategie für den Umgang mit Open-Source-Projekten erarbeiten muss.

  1. Matthew Garrett "Secure Boot ist nicht gleich Restricted Boot"
  2. Chart.js Hübsche Diagramme, wieder online
  3. Elektronische Steuererklärung Elster für Linux und Mac OS X existiert
Golem.de
In eigener Sache: Bitte schalte deinen Adblocker aus!
In eigener Sache
Bitte schalte deinen Adblocker aus!

Viele Nutzer betrachten Adblocker als legitime Notwehr gegen die aggressive Werbung im Netz. Für Websites wie Golem.de ist das ein großes Problem. Am Ende verlieren alle. Suche nach Auswegen aus dem Dilemma.

  1. In eigener Sache Golem.de und das Leistungsschutzrecht
Forumsbeiträge »
  1. Bundesdatenschützer Jobcenter sollen nicht bei Facebook recherchieren

    Re: Wie das Arbeitsamt zum Helfer in der Not zum...

    DrWatson | 15:01

  2. Drosselung Die Mär vom teuren Traffic oder wie viel kostet ein GByte?

    Re: Fakt ist: Ein Terabyte kostet mehr als ein...

    Combo | 14:59

  3. Displayserver Fast alle X.org-Bibliotheken mit Sicherheitslücken

    Re: Linux ist ja auch nicht automatisch sicherer...

    nille02 | 14:59

  4. Xbox One Handel muss Gebrauchtspiele de-registrieren

    Re: Dauerfist von MS und Publisher. Mit dem...

    hw75 | 14:58

  5. Xbox One Handel muss Gebrauchtspiele de-registrieren

    Re: DigitalDownload

    klamey | 14:53

Ticker »
  1. Video Yahoo gibt Angebot für Hulu ab

    13:18

  2. Google X Google baut mobiles Internet in Afrika und Südostasien

    11:44

  3. Xbox One Handel muss Gebrauchtspiele de-registrieren

    17:34

  4. Lenovo "Wir können uns jede Übernahme leisten"

    16:22

  5. Bundesdatenschützer Jobcenter sollen nicht bei Facebook recherchieren

    14:55

  6. Navigation Google Maps erhält Routenplanung per Fahrrad

    14:37

  7. Test Call of Juarez Gunslinger Hör-Spiel im Wilden Westen

    14:00

  8. Fonic All-Net Flat Telefon-, SMS- und Datenflatrate für 25 Euro

    12:30

Zum Artikel