Abo
  • Services:

Unsicheres NFC: Android-Applikation liest Paypass-Daten aus

Mit der Applikation Paycardreader für Android lassen sich Informationen von Paypass-Karten von Mastercard und der Geldkarte der Sparkasse über NFC auslesen. Die Anwendung ist inzwischen aus Google Play entfernt worden.

Artikel veröffentlicht am ,
Mit einer Android-App können über NFC Informationen von Girogo-Karten ausgelesen werden.
Mit einer Android-App können über NFC Informationen von Girogo-Karten ausgelesen werden. (Bild: Deutscher Sparkassen- und Giroverband)

Dem Entwickler und Sicherheitsexperten Thomas Skora ist es gelungen, zumindest vorübergehend eine Applikation bei Google Play einzureichen, die über NFC Informationen von Paypass-Karten von Mastercard und der Girogo-Karte der Sparkasse auslesen kann.

Stellenmarkt
  1. soft-nrg Development GmbH', Dornach
  2. Dataport, Altenholz bei Kiel, Hamburg

Inzwischen wurde Paycardreader wieder aus Google Play entfernt. Der Code war zunächst noch über Github erhältlich. Der Link funktioniert inzwischen nicht mehr. Skora will die Anwendung künftig als APK-Datei anbieten. Sie soll laut Skora lediglich zu Demonstrationszwecken dienen und läuft noch nicht stabil.

Zu den Informationen, die Paycardreader über NFC-fähige Smartphones auslesen kann, gehören Kartennummern, Gültigkeitsdauer, Transaktionen und die Identifikationsnummer der Händler oder des Transaktionsterminals. Skora hatte die Applikation auf der Integralis Security World am 19. und 20. Juni 2012 vorgestellt.

Unverschlüsselte Übertragung

Vor wenigen Tagen hatte der Entwickler Andreas Schiermeier die Sicherheit des Bezahlens per NFC mit den Worten kritisiert, dass bei jeder Transaktion "ein Datums- und Zeitstempel, der Betrag und die Kennung des Händlers oder des Ladeterminals hinterlegt" würden. Schiermeier gehört zum Frankfurter Chaos Computer Club und hat es nach eigenen Angaben mit einer kostenlosen Windows-Software und einem NFC-Lesegerät geschafft, diese Daten auszulesen. Denn das Übertragen der Daten erfolgt unverschlüsselt.

Auf dem Hackertreffen Sigint im Mai 2012 hatte der Entwickler Philipp Mohr das Zahlungssystem Paypass genauer angesehen. Dabei wies er ebenfalls auf zahlreiche Sicherheitslücken hin. Auch die Hackerin Kristin Paget hatte Lücken in Googles Zahlungssystem Wallet entdeckt.

Nachtrag vom 22. Juni 2012, 19:00 Uhr

Inzwischen ist der Quellcode der Applikation Paycardreader auch nicht mehr über Github verfügbar. Wir haben den Text entsprechend angepasst.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 899€

M.P. 25. Jun 2012

Hmm, es ist wohl schon ein Unterschied, ob man *in* eine Tasche hineingreift, oder sich...

fratze123 25. Jun 2012

ist doch "äpp" nur die unwort-abkürzung von applikation. am besten noch den plural mit...

fratze123 25. Jun 2012

sag das mal google - DIE haben die app aus'm market gelöscht, wenn man dem artikel hier...

fratze123 25. Jun 2012

wird der kram jetzt genauso willkürlich wie bei apple? das wäre das nächste...

M.P. 24. Jun 2012

Was die technische Seite der Medaille angeht, magst Du recht haben. Was die Seite derer...


Folgen Sie uns
       


Shadow of the Tomb Raider - Golem.de live Teil 2

In Teil 2 des Livestreams zu Shadow of the Tomb Raider finden wir lustige Grafikfehler und der Chat trinkt zu viel Bier, kann Michael aber trotzdem bei einigen Rätseln helfen.

Shadow of the Tomb Raider - Golem.de live Teil 2 Video aufrufen
Norsepower: Stahlsegel helfen der Umwelt und sparen Treibstoff
Norsepower
Stahlsegel helfen der Umwelt und sparen Treibstoff

Der erste Test war erfolgreich: Das finnische Unternehmen Norsepower hat zwei weitere Schiffe mit Rotorsails ausgestattet. Der erste Neubau mit dem Windhilfsantrieb ist in Planung. Neue Regeln der Seeschifffahrtsorganisation könnten bewirken, dass künftig mehr Schiffe saubere Antriebe bekommen.
Ein Bericht von Werner Pluta

  1. Car2X Volkswagen will Ampeln zuhören
  2. Innotrans Die Schiene wird velosicher
  3. Logistiktram Frankfurt liefert Pakete mit Straßenbahn aus

Probefahrt mit Tesla Model 3: Wie auf Schienen übers Golden Gate
Probefahrt mit Tesla Model 3
Wie auf Schienen übers Golden Gate

Die Produktion des Tesla Model 3 für den europäischen Markt wird gerade vorbereitet. Golem.de hat einen Tag in und um San Francisco getestet, was Käufer von dem Elektroauto erwarten können.
Ein Erfahrungsbericht von Friedhelm Greis

  1. 1.000 Autos pro Tag Tesla baut das hunderttausendste Model 3
  2. Goodwood Festival of Speed Tesla bringt Model 3 erstmals offiziell nach Europa
  3. Elektroauto Produktionsziel des Tesla Model 3 erreicht

Apple Watch im Test: Auch ohne EKG die beste Smartwatch
Apple Watch im Test
Auch ohne EKG die beste Smartwatch

Apples vierte Watch verändert das Display-Design leicht - zum Wohle des Nutzers. Die Uhr bietet immer noch mit die beste Smartwatch-Erfahrung, auch wenn eine der neuen Funktionen in Deutschland noch nicht funktioniert.
Ein Test von Tobias Költzsch

  1. Skydio R1 Apple Watch zur Drohnensteuerung verwendet
  2. Smartwatch Apple Watch Series 4 mit EKG und Sturzerkennung
  3. Smartwatch Apple Watch Series 4 nur mit sechs Modellen

    •  /