Abo
  • Services:
Anzeige
Auf der Sigint 2012 erklärt Philipp Mohr, dass Bezahlen per NFC nicht sicher ist.
Auf der Sigint 2012 erklärt Philipp Mohr, dass Bezahlen per NFC nicht sicher ist. (Bild: Jörg Thoma/Golem.de)

Bezahlsysteme: Paypass über NFC mit Lücken

Auf der Sigint 2012 erklärt Philipp Mohr, dass Bezahlen per NFC nicht sicher ist.
Auf der Sigint 2012 erklärt Philipp Mohr, dass Bezahlen per NFC nicht sicher ist. (Bild: Jörg Thoma/Golem.de)

Bezahlen per NFC ist sicher, sagen die Hersteller. Der Entwickler Philipp Mohr hat sich das Bezahlsystem genauer angesehen und kommt zu einem anderen Ergebnis. Er erklärt auf der Sigint 2012 auch, was ein Benutzer beachten muss, um einen Datenklau zu verhindern.

Bezahlen per NFC ist bei weitem nicht so sicher, wie es die Anbieter sagen, berichtet der Entwickler Philipp Mohr auf der Sigint 2012 in Köln. Transaktionen können ohne direkten Zugriff mitverfolgt werden, sogar wenn das Smartphone in der Tasche des Opfers bleibt. Damit lassen sich Karten nachmachen und ohne Genehmigung des Opfers weiter nutzen. Einige Vorkehrungen können Anwender jedoch treffen, um den Datenklau zu verhindern.

Anzeige

Das Bezahlsystem über NFC basiert auf Paypass, das von Mastercard entwickelt und auf dessen Kreditkarten eingesetzt wird. Bislang zogen sowohl Visa als auch American Express nach. Inzwischen wird Paypass auch in Deutschland angeboten. Alle Anbieter verwenden allerdings das gleiche Paypass-Verfahren. Google hat mit Wallet ebenfalls ein Bezahlsystem für NFC eingeführt, das bislang nur auf Karten der Citibank eingesetzt wird oder über Prepaid-Karten, die Google selbst verkauft.

Keine PIN bei geringen Beiträgen

Bei Transaktionen mit Visa und Co. mit Beträgen unter 25 Euro wird der Betrag automatisch abgebucht. Liegt der Betrag darüber, muss eine PIN eingegeben werden. Google Wallet verlangt stets eine PIN-Eingabe.

NFC-Chips verwenden lediglich eine einzige Frequenz, die bei 13,56 MHz liegt. Außerdem ist NFC nur für sehr kurze Distanzen konzipiert, die Karte muss also mehr oder weniger auf den Leser gelegt werden. NFC nutzt RFID-Technik, etwa mit passiven RFID-Tags nach ISO 14443 sowie ISO 15693 oder aktiv nach ISO 18092.

Selbstgebaute Kartenleser

Geschützt werden die Daten auf den Karten und in den Smartphones mit den sogenannten CVC3-Codes, die eine 112-Bit-Verschlüsselung verwenden. Der 16 Byte lange Schlüssel ist weitgehend sicher, sagte Mohr. Außerdem könnten die dynamischen CVC3-Codes nicht automatisch generiert werden. Allerdings hätten fast alle Karten eine 7 Byte lange Kennung. Daher könnten Kartenleser recht einfach nachgebaut werden, um zumindest teilweise Informationen auszulesen.

NFC-Kartenleser verwenden zwei Profile: Magstripe und M/Chip (Chip and PIN), wobei Letzteres besser verschlüsselt ist. Eine echte Authentifizierung zwischen Karte und Leser findet aber nicht statt. Dadurch lassen sich auch Transaktionen aufzeichnen und später möglicherweise über Replay-Angriffe nachbilden.

Mit fremden Daten zahlen 

eye home zur Startseite
FoVITIS 16. Nov 2013

1. Beitrag existiert nicht (mehr) 2. Gut das einige Anbieter die normalen...

Sharra 20. Mai 2012

Aus gutem Grund ist in den Allgemeinen Geschäftsbedingungen der Banken ausdrücklich...



Anzeige

Stellenmarkt
  1. ETAS GmbH & Co. KG, Stuttgart
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Bosch Engineering GmbH, Abstatt
  4. ROHDE & SCHWARZ GmbH & Co. KG, München


Anzeige
Spiele-Angebote
  1. (-8%) 45,99€
  2. 15,29€
  3. 13,99€

Folgen Sie uns
       


  1. Skygofree

    Kaspersky findet mutmaßlichen Staatstrojaner

  2. World of Warcraft

    Schwierigkeitsgrad skaliert in ganz Azeroth

  3. Open Source

    Microsoft liefert Curl in Windows 10 aus

  4. Boeing und SpaceX

    Experten warnen vor Sicherheitsmängeln bei Raumfähren

  5. Tencent

    Lego will mit Tencent in China digital expandieren

  6. Beta-Update

    Gesichtsentsperrung für Oneplus Three und 3T verfügbar

  7. Matthias Maurer

    Ein Astronaut taucht unter

  8. Luftfahrt

    Boeing entwickelt Hyperschall-Spionageflugzeug

  9. Alexa-Gerät

    Echo Spot mit Display kommt für 130 Euro

  10. P Smart

    Huawei stellt Dual-Kamera-Smartphone für 260 Euro vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

Spectre und Meltdown: All unsere moderne Technik ist kaputt
Spectre und Meltdown
All unsere moderne Technik ist kaputt
  1. Microsoft Fall Creators Update ist final für alle Geräte verfügbar
  2. BeA Noch mehr Sicherheitslücken im Anwaltspostfach
  3. VEP Charter Trump will etwas transparenter mit Sicherheitslücken umgehen

Star Citizen Alpha 3.0 angespielt: Es wird immer schwieriger, sich auszuloggen
Star Citizen Alpha 3.0 angespielt
Es wird immer schwieriger, sich auszuloggen
  1. Cloud Imperium Games Star Citizen bekommt erst Polituren und dann Reparaturen
  2. Star Citizen Reaktionen auf Gameplay und Bildraten von Alpha 3.0
  3. Squadron 42 Mark Hamill fliegt mit 16 GByte RAM und SSD

  1. Re: Gute Shell

    bernd71 | 16:53

  2. G400 gibt es nicht mehr

    trolling3r | 16:53

  3. Re: Kaspersky... als könnte man denen vertrauen

    Tijuana | 16:52

  4. Re: Spionageflugzeug ist lustig.

    zZz | 16:51

  5. Re: Schöne Änderung.

    Bigfoo29 | 16:47


  1. 16:25

  2. 15:34

  3. 15:05

  4. 14:03

  5. 12:45

  6. 12:30

  7. 12:02

  8. 11:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel