Abo
  • Services:
Anzeige
Mit einer Android-App können über NFC Informationen von Girogo-Karten ausgelesen werden.
Mit einer Android-App können über NFC Informationen von Girogo-Karten ausgelesen werden. (Bild: Deutscher Sparkassen- und Giroverband)

Unsicheres NFC: Android-Applikation liest Paypass-Daten aus

Mit einer Android-App können über NFC Informationen von Girogo-Karten ausgelesen werden.
Mit einer Android-App können über NFC Informationen von Girogo-Karten ausgelesen werden. (Bild: Deutscher Sparkassen- und Giroverband)

Mit der Applikation Paycardreader für Android lassen sich Informationen von Paypass-Karten von Mastercard und der Geldkarte der Sparkasse über NFC auslesen. Die Anwendung ist inzwischen aus Google Play entfernt worden.

Dem Entwickler und Sicherheitsexperten Thomas Skora ist es gelungen, zumindest vorübergehend eine Applikation bei Google Play einzureichen, die über NFC Informationen von Paypass-Karten von Mastercard und der Girogo-Karte der Sparkasse auslesen kann.

Anzeige

Inzwischen wurde Paycardreader wieder aus Google Play entfernt. Der Code war zunächst noch über Github erhältlich. Der Link funktioniert inzwischen nicht mehr. Skora will die Anwendung künftig als APK-Datei anbieten. Sie soll laut Skora lediglich zu Demonstrationszwecken dienen und läuft noch nicht stabil.

Zu den Informationen, die Paycardreader über NFC-fähige Smartphones auslesen kann, gehören Kartennummern, Gültigkeitsdauer, Transaktionen und die Identifikationsnummer der Händler oder des Transaktionsterminals. Skora hatte die Applikation auf der Integralis Security World am 19. und 20. Juni 2012 vorgestellt.

Unverschlüsselte Übertragung

Vor wenigen Tagen hatte der Entwickler Andreas Schiermeier die Sicherheit des Bezahlens per NFC mit den Worten kritisiert, dass bei jeder Transaktion "ein Datums- und Zeitstempel, der Betrag und die Kennung des Händlers oder des Ladeterminals hinterlegt" würden. Schiermeier gehört zum Frankfurter Chaos Computer Club und hat es nach eigenen Angaben mit einer kostenlosen Windows-Software und einem NFC-Lesegerät geschafft, diese Daten auszulesen. Denn das Übertragen der Daten erfolgt unverschlüsselt.

Auf dem Hackertreffen Sigint im Mai 2012 hatte der Entwickler Philipp Mohr das Zahlungssystem Paypass genauer angesehen. Dabei wies er ebenfalls auf zahlreiche Sicherheitslücken hin. Auch die Hackerin Kristin Paget hatte Lücken in Googles Zahlungssystem Wallet entdeckt.

Nachtrag vom 22. Juni 2012, 19:00 Uhr

Inzwischen ist der Quellcode der Applikation Paycardreader auch nicht mehr über Github verfügbar. Wir haben den Text entsprechend angepasst.


eye home zur Startseite
M.P. 25. Jun 2012

Hmm, es ist wohl schon ein Unterschied, ob man *in* eine Tasche hineingreift, oder sich...

fratze123 25. Jun 2012

ist doch "äpp" nur die unwort-abkürzung von applikation. am besten noch den plural mit...

fratze123 25. Jun 2012

sag das mal google - DIE haben die app aus'm market gelöscht, wenn man dem artikel hier...

fratze123 25. Jun 2012

wird der kram jetzt genauso willkürlich wie bei apple? das wäre das nächste...

M.P. 24. Jun 2012

Was die technische Seite der Medaille angeht, magst Du recht haben. Was die Seite derer...


Kostenlose Kreditkarten / 26. Jun 2012



Anzeige

Stellenmarkt
  1. Dataport, Altenholz bei Kiel
  2. Fresenius Medical Care Deutschland GmbH, St. Wendel
  3. über Robert Half Technology, Hamburg (Home-Office möglich)
  4. Kassenärztliche Vereinigung Hamburg, Hamburg


Anzeige
Spiele-Angebote
  1. 54,85€
  2. 349,99€
  3. 44,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Autonomes Fahren

    Suchmaschinenkonzern Yandex baut fahrerlosen Bus

  2. No Man's Sky

    Steam wehrt sich gegen Erstattungen

  3. Electronic Arts

    Battlefield 1 setzt Gold, aber nicht Plus voraus

  4. Kaby Lake

    Intel stellt neue Chips für Mini-PCs und Ultrabooks vor

  5. Telefonnummern für Facebook

    Threema profitiert von Whatsapp-Datenaustausch

  6. Browser

    Google Cast ist nativ in Chrome eingebaut

  7. Master of Orion im Kurztest

    Geradlinig wie der Himmelsäquator

  8. EU-Kommission

    Apple soll 13 Milliarden Euro an Steuern nachzahlen

  9. Videocodec

    Für Netflix ist H.265 besser als VP9

  10. Weltraumforschung

    DFKI-Roboter soll auf dem Jupitermond Europa abtauchen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Galaxy Note 7 im Test: Schaut dir in die Augen, Kleine/r/s!
Galaxy Note 7 im Test
Schaut dir in die Augen, Kleine/r/s!
  1. Samsung Display des Galaxy Note 7 ist offenbar nicht kratzfest
  2. PM1643 & PM1735 Samsung zeigt V-NAND v4 und drei Rekord-SSDs
  3. Gear IconX im Test Anderthalb Stunden Trainingsspaß

Xfel: Riesenkamera nimmt Filme von Atomen auf
Xfel
Riesenkamera nimmt Filme von Atomen auf
  1. US Air Force Modifikation der Ionosphäre soll Funk verbessern
  2. Teilchenbeschleuniger Mögliches neues Boson weist auf fünfte Fundamentalkraft hin
  3. Materialforschung Glas wechselt zwischen durchsichtig und schwarz

Deus Ex Mankind Divided im Test: Der Agent aus dem Hardwarelabor
Deus Ex Mankind Divided im Test
Der Agent aus dem Hardwarelabor
  1. Summit Ridge AMDs Zen-Chip ist so schnell wie Intels 1.000-Euro-Core-i7
  2. Doom Denuvo schützt offenbar nicht mehr
  3. Deus Ex angespielt Eine Steuerung für fast jeden Agenten

  1. Re: Wie bescheuert muss man eigentlich sein

    rldml | 00:19

  2. Re: Macs mit zeitgemäßer Hardware

    picaschaf | 00:14

  3. Re: Conversations (XMPP Client) Downloadzahlen...

    lumines | 00:08

  4. Re: Open Source Treiber JETZT!

    cpt.dirk | 30.08. 23:58

  5. Re: Dauer der Anhörungen...

    1ras | 30.08. 23:57


  1. 17:39

  2. 17:19

  3. 15:32

  4. 15:01

  5. 14:57

  6. 14:24

  7. 14:00

  8. 12:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel