Benutzer gerdroot schrieb:
... "NFC PAYMENT IST UNSICHER!!!!!111"
Schön das in diesem Artikel wenigstens in der zweiten Hälfte die praktische (fast) unmöglichkeit dieses Angriffsvektors von den Leuten selbst erwähnt worden ist.
Während einer an der Kasse steht muss der andere in der nähe des Opfers stehen und sie müssen das en Angriff so timen das es weder dem Kassierer noch dem Opfer auffällt. Und wie machen sie das? Telepathie? Oder Telefonieren sie währenddessen ... so ala "ja jetzt halt ihm das Handy an den Hintern zum bezahlen"... Also, das Szenario ist ja mal völlig unrealisistisch. Jeder Kassierer mit durchschnittlichem IQ wird doch merken das da was komisch ist...
UND: zumindest die mir bekannten Mobilen NFC Beazhlverfahren laufen ab einem Betrag von 25€ nicht ohne PIN Eingabe...
Lohnt sich voll.
Mobiles Bezahlen mit dem Handy per NFC ist meiner Meinung nach genauso sicher wie das Bezahlen mit kontaktlosen Plastikkarten.
Und wenn ein Angriff über die Funkschnitstelle tatsächlich gelingt, sei es über das o.g. Verfahren oder über getunte Antennen, dann ist der Schaden mit 25€ zwar ärgerlich, aber absolut zu verschmerzen.
Hi,
zuerst einmal full disclosure: Ich bin einer der Entwickler.
Einerseits stimme ich dir zu, dass bei dem vorgeschlagenen Angriff wirklich einiges an Aufwand dahinter steckt, andererseits musst du dir mal überlegen, welche kriminelle Energie dahinter steckt, wenn jemand einen Geldautomaten manipuliert.
Das vorgestellte Szenario ist natürlich zusätzlich verkompliziert um es in eine Alltagssituation zu übertragen, aber wer einen wirklichen Angriff fahren will, der besorgt sich einfach selbst ein NFC-Bezahlterminal. Dabei kann er sogar im Ausland sitzen. Die App zeigt dir über die Verbindung zum Zweithandy an, ob dieses mit einer NFC-Karte verbunden ist. Sobald das passiert, legt man das Handy auf das Terminal und die Transaktion startet. Damit braucht es keinerlei zusätzliche menschliche Synchronisation zwischen der Person am Bezahlterminal und der an den Karten.
Ein viel realistischeres Problem sehe ich in Zutrittssysteme. In der Welt in der wir leben existieren tatsächlich Schließsysteme, die eine Tür zu einem sensiblen Bereich öffnen, sobald eine passende UID erkannt wird. Keinerlei kryptografische Sicherung, sondern nur UID und fertig. Zu allem Überfluss ist diese UID meistens auch noch auf der Karte aufgedruckt. Somit reicht ein einziger Blick/Foto der Karte, um die Türe zu öffnen - ohne die echte Karte zu haben. Die UID kann man einfach einkonfigurieren. Aber auch mit kryptografischer Sicherung ist das Beispiel mit der Türe einfacher umzusetzen. Ist es denn in der heutigen Zeit besonders auffällig, wenn jemand irgendwo rum steht und auf sein Handy starrt? Ob er einfach auf eine SMS antwortet oder auf das Zeichen der App wartet, das sauf der anderen Seite eine Karte erkannt wurde, ist von außen nicht zu erkennen. In dem Moment hält er sein Handy an das Lesegerät und die Türe öffnet sich.
Man muss sich auch ernsthaft fragen: Ist es wirklich so auffällig, wenn jemand in der Kantine beim Essen sein Handy auf dein Geldbeutel legt, den du nach dem Bezahlen noch auf dem Tablet liegen hast? Mit genügend krimineller Energie lassen sich einige Situationen herleiten, in denen es für das Opfer ohne Wissen von dem Angriff nicht auffällig ist, wenn ein Handy und eine Karte/Geldbeutel in Funkreichweite kommen.
Trotz allem was ich bisher geschrieben hab: NFCGate ist ein Tool zur Sicherheitsforschung. Das Beispiel im Interview und mein Text oben soll nur aufzeigen, dass das Problem wirklich existiert. Aber die Zielsetzung der App ist eine andere: Wir wollten eine einfache Möglichkeit schaffen, wie die Protokolle, die zwischen Lesegerät und Karte gesprochen werden, analysiert und manipuliert werden können. Zusätzlich zu der App und dem Server existiert noch ein Man-in-the-Middle Tool, das der Sicherheitsforscher auf seinem PC ausführen kann und durch das der komplette Datenverkehr durchgeschleust wird. Damit erhöht sich zwar nochmals der Delay, allerdings kann man dann sehr bequem Angriffe auf das Protokoll ausprobieren und so z.B. mit Hilfe eines echten Lesegerätes und der echten Authentifikation von diesem Speicherinhalte der Karte auslesen, indem man im richtigen Moment Befehle in den Datenstrom einschleust. Dazu muss er nicht kompliziert die App neu bauen oder den Server verändern, sondern klickt einfach "Run" und schon kann es losgehen.