Unsicheres NFC: Android-Applikation liest Paypass-Daten aus
Dem Entwickler und Sicherheitsexperten Thomas Skora(öffnet im neuen Fenster) ist es gelungen, zumindest vorübergehend eine Applikation bei Google Play einzureichen, die über NFC Informationen von Paypass-Karten von Mastercard und der Girogo-Karte der Sparkasse auslesen kann.
Inzwischen wurde Paycardreader wieder aus Google Play entfernt. Der Code war zunächst noch über Github(öffnet im neuen Fenster) erhältlich. Der Link funktioniert inzwischen nicht mehr. Skora will die Anwendung künftig als APK-Datei anbieten. Sie soll laut Skora lediglich zu Demonstrationszwecken dienen und läuft noch nicht stabil.
Zu den Informationen, die Paycardreader über NFC-fähige Smartphones auslesen kann, gehören Kartennummern, Gültigkeitsdauer, Transaktionen und die Identifikationsnummer der Händler oder des Transaktionsterminals. Skora hatte die Applikation auf der Integralis Security World(öffnet im neuen Fenster) am 19. und 20. Juni 2012 vorgestellt.
Unverschlüsselte Übertragung
Vor wenigen Tagen hatte der Entwickler Andreas Schiermeier die Sicherheit des Bezahlens per NFC mit den Worten kritisiert , dass bei jeder Transaktion "ein Datums- und Zeitstempel, der Betrag und die Kennung des Händlers oder des Ladeterminals hinterlegt" würden. Schiermeier gehört zum Frankfurter Chaos Computer Club und hat es nach eigenen Angaben mit einer kostenlosen Windows-Software und einem NFC-Lesegerät geschafft, diese Daten auszulesen. Denn das Übertragen der Daten erfolgt unverschlüsselt.
Auf dem Hackertreffen Sigint im Mai 2012 hatte der Entwickler Philipp Mohr das Zahlungssystem Paypass genauer angesehen . Dabei wies er ebenfalls auf zahlreiche Sicherheitslücken hin. Auch die Hackerin Kristin Paget(öffnet im neuen Fenster) hatte Lücken in Googles Zahlungssystem Wallet entdeckt.
Nachtrag vom 22. Juni 2012, 19:00 Uhr
Inzwischen ist der Quellcode der Applikation Paycardreader auch nicht mehr über Github verfügbar. Wir haben den Text entsprechend angepasst.