Anzeige
Mit einer Android-App können über NFC Informationen von Girogo-Karten ausgelesen werden.
Mit einer Android-App können über NFC Informationen von Girogo-Karten ausgelesen werden. (Bild: Deutscher Sparkassen- und Giroverband)

Unsicheres NFC: Android-Applikation liest Paypass-Daten aus

Mit einer Android-App können über NFC Informationen von Girogo-Karten ausgelesen werden.
Mit einer Android-App können über NFC Informationen von Girogo-Karten ausgelesen werden. (Bild: Deutscher Sparkassen- und Giroverband)

Mit der Applikation Paycardreader für Android lassen sich Informationen von Paypass-Karten von Mastercard und der Geldkarte der Sparkasse über NFC auslesen. Die Anwendung ist inzwischen aus Google Play entfernt worden.

Anzeige

Dem Entwickler und Sicherheitsexperten Thomas Skora ist es gelungen, zumindest vorübergehend eine Applikation bei Google Play einzureichen, die über NFC Informationen von Paypass-Karten von Mastercard und der Girogo-Karte der Sparkasse auslesen kann.

Inzwischen wurde Paycardreader wieder aus Google Play entfernt. Der Code war zunächst noch über Github erhältlich. Der Link funktioniert inzwischen nicht mehr. Skora will die Anwendung künftig als APK-Datei anbieten. Sie soll laut Skora lediglich zu Demonstrationszwecken dienen und läuft noch nicht stabil.

Zu den Informationen, die Paycardreader über NFC-fähige Smartphones auslesen kann, gehören Kartennummern, Gültigkeitsdauer, Transaktionen und die Identifikationsnummer der Händler oder des Transaktionsterminals. Skora hatte die Applikation auf der Integralis Security World am 19. und 20. Juni 2012 vorgestellt.

Unverschlüsselte Übertragung

Vor wenigen Tagen hatte der Entwickler Andreas Schiermeier die Sicherheit des Bezahlens per NFC mit den Worten kritisiert, dass bei jeder Transaktion "ein Datums- und Zeitstempel, der Betrag und die Kennung des Händlers oder des Ladeterminals hinterlegt" würden. Schiermeier gehört zum Frankfurter Chaos Computer Club und hat es nach eigenen Angaben mit einer kostenlosen Windows-Software und einem NFC-Lesegerät geschafft, diese Daten auszulesen. Denn das Übertragen der Daten erfolgt unverschlüsselt.

Auf dem Hackertreffen Sigint im Mai 2012 hatte der Entwickler Philipp Mohr das Zahlungssystem Paypass genauer angesehen. Dabei wies er ebenfalls auf zahlreiche Sicherheitslücken hin. Auch die Hackerin Kristin Paget hatte Lücken in Googles Zahlungssystem Wallet entdeckt.

Nachtrag vom 22. Juni 2012, 19:00 Uhr

Inzwischen ist der Quellcode der Applikation Paycardreader auch nicht mehr über Github verfügbar. Wir haben den Text entsprechend angepasst.


eye home zur Startseite
M.P. 25. Jun 2012

Hmm, es ist wohl schon ein Unterschied, ob man *in* eine Tasche hineingreift, oder sich...

fratze123 25. Jun 2012

ist doch "äpp" nur die unwort-abkürzung von applikation. am besten noch den plural mit...

fratze123 25. Jun 2012

sag das mal google - DIE haben die app aus'm market gelöscht, wenn man dem artikel hier...

fratze123 25. Jun 2012

wird der kram jetzt genauso willkürlich wie bei apple? das wäre das nächste...

M.P. 24. Jun 2012

Was die technische Seite der Medaille angeht, magst Du recht haben. Was die Seite derer...

Kommentieren


Kostenlose Kreditkarten / 26. Jun 2012



Anzeige

  1. ERP Anwendungsberater / -Entwickler (m/w)
    Dörken Service GmbH, Herdecke
  2. Software Developer (m/w)
    Global Legal Entity Identifier Foundation, Frankfurt
  3. IT-Systemadministrator (m/w)
    Isar Kliniken GmbH, München
  4. Systemtechniker (m/w)
    ADG Apotheken-Dienstleistungsgesellschaft mbH, Hamburg, Oldenburg

Detailsuche



Anzeige

Folgen Sie uns
       


  1. Forschung

    Forcephone macht jedes Smartphone Force-Touch-tauglich

  2. Unity

    Jobplattform für Entwickler und neues Preismodell

  3. Internetzugang

    Deutsche Telekom entschuldigt sich vergeblich bei Bushido

  4. Basistunnel

    Bestens vernetzt durch den Gotthard

  5. Kniterate

    Der Maker lässt stricken

  6. Maker Faire Hannover 2016

    Denkt denn keiner an die Kinder? Doch, alle!

  7. Sampling

    Hip-Hop bleibt erlaubt

  8. Tubeninja

    Youtube fordert Streamripper zur Schließung auf

  9. iPhone 7

    Erste Kopfhörer-Adapter für Lightning-auf-Klinke gesichtet

  10. Wiko Jerry

    Das schwer zu bekommende 100-Euro-Smartphone



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. Doom im Technik-Test Im Nightmare-Mode erzittert die Grafikkarte
  2. id Software Doom wird Vulkan unterstützen
  3. Id Software PC-Spieler müssen 45 GByte von Steam laden

Darknet: Die gefährlichen Anonymitätstipps der Drogenhändler
Darknet
Die gefährlichen Anonymitätstipps der Drogenhändler
  1. Privatsphäre 1 Million Menschen nutzen Facebook über Tor
  2. Security Tor-Nutzer über Mausrad identifizieren

Privacy-Boxen im Test: Trügerische Privatheit
Privacy-Boxen im Test
Trügerische Privatheit
  1. Fehler in Blogsystem 200.000 Zugangsdaten von SZ-Magazin kopiert
  2. Überwachung Aufregung um Intermediate-Zertifikat für Bluecoat
  3. IT-Sicherheit SWIFT-Hack vermutlich größer als bislang angenommen

  1. Re: Ein unmöglicher Mensch!

    FlutterRage | 13:49

  2. Re: Die Telekom unterwirft sich diesem Typen?

    Niaxa | 13:48

  3. Re: Depressiver Artikel

    david_rieger | 13:47

  4. Re: Ich bin froh über jeden Blitzer

    Clown | 13:47

  5. Re: Und wo genau ist jetzt die News?

    Little_Green_Bot | 13:47


  1. 13:50

  2. 13:10

  3. 12:29

  4. 12:04

  5. 11:49

  6. 11:41

  7. 11:03

  8. 10:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel