Pin zur NFC-Bezahlung lässt sich bei Android-Smartphones knacken

Veröffentlicht am 23. März 2012 von sabrina

Der Sicherheitsexperte Joshuy Rubin hat eine Schwachstelle im Google Wallet-Bezahlsystem entdeckt. Hierdurch haben Angreifer die Möglichkeit, an die Pin für die NFC-Bezahlung zu kommen. Nur gerootete Geräte sind dagegen geschützt.

Das Zahlsystem Google Wallet ermöglicht Android-Smartphones-Besitzern eine kontaktlose Bezahlung per NFC (Near Field Communication), anstelle von Kreditkarte und Bargeld. Damit die NFC-Bezahlung vorgenommen werden kann, benötigen die Benutzer eine Pin-Nummer. Das Secure Element der Smartphones wird hierdurch vor unberechtigtem Zugriff abgesichert. Hier befinden sich zum Beispiel Kreditkarteninformationen, an welche niemand herankommt. Normalerweise ist die Pin von Android-Geräten sehr gut geschützt. Wird die Pin mehrmals falsch eingegeben kann eine NFC-Bezahlung nicht mehr durchgeführt werden. Allerdings hat die Pin-Nummer nur vier Stellen, sodass ein Angreifer, wenn er an die Datenbank kommt, es leicht hat. Hierfür wird nur ein einfacher Brute-Force-Angriff benötigt und nach höchstens 10.000 Versuchen wird die Pin-Nummer geknackt. Soll die NFC-App-Sicherheitsfunktion umgangen werden, dann müssen die Smartphones gerootet werden. Hiermit ist der Zugriff auf die Datenbank, in der der Hashwert der Pin gesalzen liegt, frei.

Joshuy Rubin kritisiert, dass die Google Applikation ohne Sicherheitskriterien programmiert sind. Die Brisanz der Daten versucht Google zum Beispiel mit Metadaten-Begriffen zu maskieren. Offenbar verlässt sich Google darauf, dass die Geräte selbst geschützt sind. Auch wenn die Zielgruppe gering ist, Rooting ist nicht Außergewöhnliches. Da die Pin sehr kurz ist, stellt es keine Herausforderung dar, die wichtigen Bezahl-Funktionen aus diesem System zu extrahieren.

Google kennt dieses Problem

Google ist bereits über diese Schwachstelle informiert worden und hat angeblich auch schon Lösungen. Rubin selbst kennt dieses Problem schon seit Anfang Januar 2012, was in Demovideos zu erkennen ist. Laut Rubin gibt es allerdings ein grundsätzliches Problem, welches einen Patch bislang verhindert hat. Eine Möglichkeit wäre, die Pin ins Secure Element zu verlagern. Hier existiert aber ein signierter Code und der Aufwand, um diesen zu verteilen, ist sehr hoch. Schwierig sind auch die rechtlichen Probleme. Möglicherweise kommt es zu einer Change of Agency. Wenn das stimmt, dann besteht die Möglichkeit, die Verantwortung der Pin-Sicherheit auf die Banken zu übertragen. Diese Entscheidung müssen jetzt die Banken treffen. Wandert die Pin ins Secure Element, dann ist die Pin, laut Rubin, nahezu sicher.

Da Google Wallet in Europa noch nicht im Einsatz ist, ist die Schwachstelle hier noch nicht relevant. Der Einsatz dieses Dienstes beschränkt sich laut Google, bisher auf den US-Netzbetreiber Sprint. Eine Verbreitung ist also sehr gering. Das Problem zeigt aber, dass sich das kontaktlose NFC-Bezahlen im Bereich der Sicherheit noch im Anfangsstadium befindet.

MasterCard mit Paypass

Veröffentlicht am 9. März 2012 von sabrina

Ab sofort stattet die netbank ihre MasterCard Platinum mit einem NFC-Chip zum kontaktlosen Bezahlen aus MasterCard mit Paypass – Ab sofort stattet die Netbank ihre MasterCard Platinum mit einem NFC-Chip aus, wodurch ein kontaktloses Bezahlen ermöglicht wird. Diese moderne Technologie stellt MasterCard unter dem Markennamen Paypass zur Verfügung. Sie wird exklusiv für netbank Girokonten-Besitzer angeboten. Bis zu 200 Euro können auf den NFC-Chip geladen werden. Um zu bezahlen, muss die Karte mit einem Abstand von wenigen Zentimetern vor ein Terminal gehalten werden. Der Betrag wird ohne Pin und Unterschrift abgebucht. Durch diese moderne Technologie verspricht sich der Handel deutlich schnellere Bezahlvorgänge.

Chipzahlung momentan nur für kleine Beträge

Die NFC-Chips sind nicht mit Kartenkonten verbunden. Kommt es zu Missbrauch oder Verlust, dann beläuft sich der Schaden nur auf das vorhandene Guthaben. Ein unbegrenzter Zugriff auf das Konto ist also unmöglich. Das Phising-Risiko bei der PIN-Eingabe entfällt. Anfangs soll die Bezahlung allerdings nur NFC-Chips mit Kleinstbeträge von bis zu höchstens 25 Euro möglich sein.

Wii U Controller wird mit einem NFC-Chip ausgestattet

Veröffentlicht am 1. März 2012 von sabrina

Der Wii U Touchscreen-Controller wird zukünftig mit der Near Field Communication unterstützt. Hiermit können nicht nur Objekte mit einem NFC-Chip zu Spielelementen gemacht werden, sondern es kann auch für ein kontaktloses Bezahlen benutzt werden.

Satoru Iwata, der Nintendo-Chef, hat in dieser Woche angekündigt, dass die Wii U rechtzeitig für das Weihnachtsgeschäft im Jahr 2012 in Europa, den USA, Japan und Australien erscheint. Anlässlich des Nintendo-Finanzberichts wurden auch noch weitere Details zur Hardware der begehrten Spielekonsolen bekannt. Mit der Near Field Communication (NFC), dem Nahbereichsfunkstandard, wird es möglich sein, physische Objekte, die sich in der Nähe des Wii U Controllers befinden, in das Spielerlebnis mit einzubeziehen. Laut Iwata können Karten und Figuren erzeugt werden; die Daten werden durch den NFC-Funk ausgetauscht.

Laut Iwata wird sich dieses neue und innovative Spielformat in der Welt der Videospiele verbreiten. Er weist auch darauf hin, dass NFC zukünftig weltweit zum Einsatz kommt. Diesen Standpunkt vertreten auch viele weitere Unternehmen, zum Beispiel werden noch in diesem Jahr weitere Smartphones mit der NFC-Unterstützung erwartet. Intel sieht die Integration der NFC-Technologie zukünftig auch in Banken und Ultrabooks. Auch in Deutschland beginnen Banken ihre Zahlungskarten auf NFC umzustellen.

Das will Nintendo für sich nutzen, dementsprechend bringt das Unternehmen mit dem Wii-U-Controller etwas komplett Neues in die Konsolenwelt. Es ist das erste Mal, dass ein Controller neben den herkömmlichen Gamepad Funktionen auch noch einen großen Touchscreen hat. Auch wenn es technisch möglich ist, mehrere der Wii-U-Controller parallel einzusetzen, Nintendo sieht nur einen Controller pro Konsole vor. Iwata erklärte, die Controller sind zu teuer, um damit mehrere Spieler auszustatten. Diese Tatsache wurde auch von den Entwicklern berücksichtigt.

Laut Iwata wird Nintendo im Juni auf der Game Messe E3 weitere Details über Entwicklungen, Spiele und Wii-U Pläne präsentieren. Vielleicht werden dort auch noch mehr Informationen über Nintendo Network preisgegeben. Es handelt sich hierbei um eine Art PSN oder Sbox Live für Wii-U und 3DS; im späteren Verlauf sollen hierüber auch Download-Vollpreisspiele angeboten werden.

Der Like Belt für die Realität

Veröffentlicht am 27. Februar 2012 von sabrina

Aus dem Internet ist der Facebook Like-Button nicht mehr wegzudenken, aber in der Realität ist er noch nicht vorhanden. Das amerikanische Projekt Deeplocal will diese Tatsache jetzt mit dem Like Belt ändern. Der Gürtel mit dem treffenden und auch einfallsreichen Namen, ermöglicht mithilfe eines NFC-fähigem Smartphone ein Markieren von Personen, Gegenständen und Orten, die einem gefallen. Auch das Einchecken in Restaurants und Shop kann mit einem lässigen Hüftschwung des Like-Belt Trägers veranlasst werden, in Kombinationen mit einem NFC-CHIP als Gegenstück. Auch wenn es vielleicht für manche Menschen komisch wirkt, mit einem Gürtel in dieser Größe durch die Gegend zu laufen, es demonstriert dennoch das technische Potenzial. Geschäfte, die mit einem NFC-Chip ausgestattet sind, können auf diese Art und Weise bekannte Kunden erkennen und unter Umständen personalisierte Angebote auf dem Gürtel einblenden.

Aber natürlich denkt der Hersteller auch an das private Vergnügen: in einer Disco können mit einem lockeren Hüftschwung Telefonnummern und E-Mail Adressen ausgetauscht werden, natürlich nur, wenn die Person mit solch einem Gürtel Fans findet.

NFC-Bezahlung für Vorkasse-Stromzähler

Veröffentlicht am 10. Februar 2012 von sabrina

Der Chip-Produzent Freescale hat in Kooperation mit Inside Secure ein Design für einen elektronischen, kontaktlosen Energiezähler mit einer NFC-Bezahlfunktion hergestellt. Gedacht ist er für Energieversorger, die große Mengen an Vorkasse-Stromzählern haben. Die sogenannten „Coin Meters“ für Gas und Strom waren früher in Wohnungen in England sehr verbreitet und werden auch heutzutage noch in vielen Ländern eingesetzt. Das Sammeln der eingeworfenen Münzen ist allerdings sehr zeit- und kostenträchtig, sodass es in vielen Fällen von Guthabenkarten abgelöst wurde.

Ab jetzt sollen die veralteten Verfahren von modernen Prepaid-Energiezählern mit einem Smart-Meter-Chip und einem NFC (Near-Field-Communication) –Modul abgelöst werden. Als Speicher wird ein nichtflüchtiger MRAM eingesetzt werden. Ausgelesen werden die Messwerte mithilfe eines optischen IR-Ausgangs und mit einer RS232-Schnittstelle. Ein MicroRead-Modul von Inside wickelt die kontaktlose NFC-Kommunikation ab, im VaultIC460 lagern die gesicherten Zahlungsinformationen. Aufgrund einer kryptografischen Absicherung können die Stromzähler nicht manipuliert werden. Eingebaut werden soll die Bezahl- und Messtechnik in robuste Gehäuse.

Geocaching mit NFC-Schnitzeljagd der Neuzeit

Veröffentlicht am 30. Januar 2012 von mirca

Jedes Kind kennt Schnitzeljagden und ist immer hell auf begeistert davon. Eine Schnitzeljagd findet immer im Freien statt, bei der eine vorbestimmte Route mit Zwischenzeilen abgelaufen werden muss. Es können Gegenstände versteckt sein, die zu finden sind oder man muss Hinweisen folgen, die einen zum nächsten Zwischenziel bringen sollen. Von dort aus geht das Ganze dann weiter bis das Ziel erreicht wird. Das ist die Schnitzeljagd der Vergangenheit, denn die Schnitzeljagd der Neuzeit ist das Geocaching. Das Geocaching ist eine GPS-Schnitzeljagd oder auch elektronische Schatzsuche oder Schnitzeljagd genannt, wobei anhand von geografischen Koordinaten, die im WWW (World Wide Web) veröffentlich und dann von anderen gesucht werden. Zur Ausrüstung gehört auf jeden Fall ein GPS-Empfänger oder aber in altmodischer Form eine genaue Landkarte.

Geocaching, was ist das überhaupt?

Beim Geocaching werden die veröffentlichten Koordinaten gesucht und man reist dorthin, an diesem Ort befindet sich ein Geocache, ein fester und wasserdichter Behälter in dem ein sogenanntes Logbuch und auch Tauschgegenstände enthalten sind. Jeder Besucher dieser Koordinaten, der das Geocache findet, muss sich in das Logbuch eintragen, um den Erfolg seiner Suche zu beweisen und mit seiner Unterschrift zu belegen. Um seinen Erfolg auch im World Wide Web zu veröffentlichen, vermerkt der Sucher auf einer Interseite des Geocaching seinen Fund.

NFC beim Geocaching im Einsatz

Diese moderne Schnitzeljagd eröffnet das Feld für den Einsatz der NFC Technologie, denn in dem Geocache kann anstatt des Logbuches ein NFC Tag, einer NFC Sende- und Empfangseinheit, versteckt sein, auf den man das mit einem NFC Chip ausgestattete Smartphone hält. Sofort werden die Daten des Smartphones und somit auch die des Suchers digital an das Portal im Internet gesendet und der Besuch wird geloggt. Das moderne Logbuch kann via App ausgelesen werden, um die vorherigen Besuchernamen zu ermitteln und um Informationen zu dem abgelegten Funde zu hinterlegen. Besonders interessant ist es bei dem Einsatz von NFC beim Geocaching ist, dass die Erfolge unmittelbar ans World Wide Web gesendet werden und somit keine Zeitverzögerung der Dokumentation entsteht. Der Geocacher kann sich online im Portal seine bisher zurückgelegten Routen anzeigen lassen, um eine Übersicht zu seinen Erfolgen zu erhalten.

NFC als Ersatz für Fahrscheine im ÖPNV

Veröffentlicht am 28. Januar 2012 von mirca

Auch wenn NFC für den Massenmarkt noch keine direkt spürbare Anwendung im Massenmarkt findet, handelt es sich um eine Technologie, die es bereits schon länger gibt. Im ÖPNV (öffentlichen Personennahverkehr) wird die NFC Technologie die bereits veraltete und lästige Form der Fahrkarten ablösen. Fahrkarten können verschmutzen, zerknicken, Teile können abreißen, etc. und passen somit nicht mehr in die vorgesehenen Automaten. Somit kann der Fahrgast, trotz erworbener Fahrkarte den bereits bezahlten Dienst nicht in Anspruch nehmen und die Reklamationen sind oftmals mit längeren Diskussionen und Ärgernis verbunden.

Fahrkartenkauf über NFC

Durch NFC ist es nicht mehr notwendig, vorgenormte Formen wie eine Papierkarte mit Magnetstreifen zu verwenden, denn der kleine Chip kann in x-beliebigen Formen, wie ein Schlüsselanhänger oder ein Smartphone, eingebaut oder integriert werden. Der Chip steht nicht mehr in physischem Kontakt zu dem Automaten und wird dann unmittelbar vor die Empfangseinheit gehalten und der Eintritt zu den Gleisen wird per kabellosen Datentransfer ermöglicht oder die Fahrt wird direkt über ein mobiles Bezahlsystem abgerechnet und der Chip wird freigeschaltet. Die teuren Automaten enthalten also keine Schlitze mehr, die durch Dritte vorsätzlich demoliert oder verstopft werden können und die Kosten für die Instandhaltung werden deutlich minimiert.

Flexibilität und Robustheit

Die NFC Technik ist also viel flexibler einsetzbar und auch viel robuster und kann weder verschmutzen, zerknicken oder Teile können abbrechen. Allerdings besteht das Risiko des Verlustes oder des Diebstahles. Hier wird natürlich auf die Sorgfalt des Nutzers gebaut, der auf den Chipträger wie sein Smartphone aufpasst. Sollte dieses doch abhandenkommen, ist es möglich das Gerät aus der Ferne zu lokalisieren bzw. auch zu deaktivieren, damit kein Missbrauch passieren kann. Besonders geschützt wird dieses System durch die Eingabe einer PIN Nummer am Smartphone, die den Bezahlvorgang bestätigt.

Mitarbeiterausweise mit NFC Technologie

Veröffentlicht am 24. Januar 2012 von mirca

Die schnell fortschreitende NFC (Near Field Communication) Technologie findet immer mehr Anwendungsgebiete in der heute doch sehr digitalen Welt. Die Menschen wollen es so bequem und so fortschrittlich wie möglich haben und erfreuen sich immer mehr daran Dinge und Angelegenheiten digital abzuwickeln. Das Nürnberger IT-Sicherheitsunternehmen Certgate hat eine Smartcard entwickelt, die so groß ist wie eine microSD Karte. Diese spezielle Karte ist mit einem NFC-Chip ausgestattet und sehr gut als Mitarbeiterausweis eingesetzt werden. Da die Karte auch mit einem 2 Gibabyte Flash Speicher ausgestattet ist, können auch Daten zum Mitarbeiter gespeichert werden.

Zutritt zum Gebäude mit gleichzeitiger Zeiterfassung per NFC

Heute ist es so, dass Mitarbeiter eines Unternehmens oftmals einen Schlüssel oder eine Schließkarte und einen Mitarbeiterausweis haben. Mit dem Schlüssel oder der Schließkarte erhalten sie Zutritt zum Unternehmen und auch zu bestimmten Abteilungen, zu denen sie befugt sind, und der Ausweis dient allein zur Identifikation des Mitarbeiters. Der Mitarbeiter muss immer beide Gegenstände mit sich führen, was hohes Risiko des Verlustes birgt. Der neue Mitarbeiterausweis, der direkt Schließkarte und Ausweis in einem ist, eröffnet neue Möglichkeiten. Der Mitarbeiter hält seinen Ausweis vor einen Terminal und das System loggt direkt seine Ankunft in der Firma. Somit ist auch direkt eine Zeiterfassung möglich, indem der Mitarbeiter nach Vorhalten des Ausweises einen Zahlencode für den jeweiligen Status eingibt. Diese Terminals sind mehrfach im Unternehmen zu finden, damit auch Pausen erfasst werden können. Der Mitarbeiter gelangt direkt mit seinem Ausweis auch in die für ihn zugelassenen Abteilungen und braucht keine weiteren Freigaben beantragen.

Einsicht in die Personalakte

Da der Mitarbeiterausweis mit einem Speicher ausgestattet ist, sind alle Daten, die normal in der Personalakte zu finden sind, direkt auch digital einsehbar. Die Personalakte eines Mitarbeiters ist für ihn kein Geheimnis, denn er hat das Recht auf Einsicht. Über diese Möglichkeit des Auslesens mit spezieller Software kann der Mitarbeiter ohne lästige Wartezeit in der Personalabteilung und Inanspruchnahme eines Personalsachbearbeiters seine Personalakte einsehen.

Android 4.0 beamt Daten

Veröffentlicht am 10. Januar 2012 von mirca

Vor allem die Hersteller von Smartphones haben die Technik NFC für sich erkannt und allen voran natürlich das Unternehmen Google. Mit dem neuen Betriebssystem Android 4.0 stellt Google das erste Mal auch eine NFC Einstellung mit zur Verfügung, die es den Herstellern von Smartphones einfacher machen soll, NFC-Chips zu integrieren. Bereits im Vorfeld gab es viele Gerüchte zum neuen und vor allem ersten Gerät, das mit Android 4.0 ausgestattet ist, dem Galaxy Nexus von Samsung. Im Gerät enthalten ist das erste Mal ein NFC-Chip, der eine drahtlose Datenübertragung möglich macht. Ursprünglich wurde angenommen, dass Google mit der Einführung von Beam einen Austausch von Kontakten einfacher gestalten will. Doch mit dem neuen Betriebssystem Android 4.0 und Beam macht Google es den Herstellern möglich, noch viel mehr an Daten auszutauschen.

Tausche unter Freunden

Derzeit ist die von Google benannte Schnittstelle Beam nur mit dem neuen Betriebssystem verfügbar und auch nur auf dem Google eigenen Telefon Galaxy Nexus. Zukünftig werden aber erwartungsgemäß immer mehr Hersteller von Smartphones nachziehen und diese Schnittstelle einbinden.

Die Smartphone-Hersteller haben bereits angekündigt, auch mit ihren Geräten zukünftig den Nahbereichsfunk zu unterstützen. Mit ihm ist es möglich, nicht nur die Kontaktdaten untereinander auszutauschen, indem man die Geräte einfach aneinander hält, sondern vielmehr können Empfehlungen untereinander ausgetauscht werden.

Beam macht es auch möglich, einem Freund durch Berührung des Handys beispielsweise einen Link zu empfehlen oder aber auch ein neues App aus dem Google eigenen Android Market zu empfehlen. Um der Sicherheit dabei Genüge zu tun, ist es notwendig auf beiden Geräten NFC zu aktivieren und auch Beam einzuschalten. Somit ist sichergestellt, dass Daten nicht einfach so, von einem auf das nächste Gerät übertragen werden können. Außerdem wird verhindert, schädliche Software über diesen Weg einzuschleusen.

Auch Google-Maps-Adressen oder YouTube-Videos können mithilfe von Beam an ein anderes Gerät unkompliziert und einfach weitergegeben werden.

Viele Analysten sagen, dass genau dieser einfache Verbindungsaufbau der Schlüssel zum Erfolg von NFC ist im Vergleich zu Bluetooth. Dennoch kann man beide Technologien nur schwer miteinander vergleichen, da bei Bluetooth auch größere Datenmengen von einem zum nächsten Gerät verschoben werden können, was mithilfe von NFC nicht möglich ist. Dennoch ist der Verbindungsaufbau leicht und einfach zu realisieren.

NFC erlebt 2012 seinen großen Durchbruch

Veröffentlicht am 8. Januar 2012 von sabrina

Schon bald wird das Bezahlen mit NFC (Near Field Communication) Standard sein. Möglich macht diesen innovativen Dienst ein NFC-Chip im Handy. Für tausende Franzosen gehört die Technik schon zum Alltag.

Bezahlen per Handy

Die Côte d’Azur ist die heimliche europäische Hochburg in Sachen Near Field Communication (NFC). Die zukunftsweisende Technologie ermöglicht einen sicheren drahtlosen Austausch von Daten über Strecken von maximal 15 Zentimetern. Bereits seit dem Sommer 2010 können über 5000 Einwohner Nizzas an 1800 Terminals per Handy bezahlen. Hinter dem Projekt, das unter der Bezeichnung “Cityzi” vermarktet wird, steht der französische Mobilfunkanbieter Orange, eine Tochter von France Télécom. In den nächsten Monaten wird das NFC-Netz auf weitere Großstädte wie Strasbourg und Paris ausgedehnt. In Nizza ist die Bandbreite der NFC-Angebote beeindruckend. In vielen Cafés, Restaurants oder Läden braucht kein Bargeld mehr gezückt werden, um Rechnungen zu begleichen. Der Gast muss nur für zwei bis drei Sekunden sein Mobiltelefon an ein portables Terminal zu halten, bis es piept und schon wird der jeweilige Rechnungsbetrag vom eigenen Bankkonto abgebucht.

Bis 20 Euro ist kein PIN nötig

Beträge bis 20 Euro erfordern keine Eingabe eines PINs, sodass die Handy-Bezahlung im Alltag eine große Erleichterung ist. Allerdings wurde von den Finanzinstituten eine Sicherung eingebaut, um einem Missbrauch nach einem Diebstahl oder Verlust des Handys vorzubeugen: Ab und zu wird ein Kontrollcode eingefordert. Kunden, die häufig in Nizza mit Bus und Bahn unterwegs sind, profitierten besonders vom NFC-Zeitalter. Fahrscheine lassen sich per App erwerben, auf Wunsch sogar mit einem GPS-Lotsendienst zur nächsten Haltestelle. In Bussen und Bahnen genügt es dann, das digitale Portemainne an einen Lesepunkt zu halten und schon wird das Ticket entwertet. Auch bei den mehr als 150 Vélo-Fahrrad -Leihstationen kann auf diese Weise bezahlt werden.

Deutschland hinkt noch etwas hinterher

In Deutschland steckt die NFC-Technik für mobile Bezahldienste noch in den Kinderschuhen. Und das, obwohl eine unabhängige Studie der Gesellschaft für Konsumforschung (GfK) gezeigt hat, dass bereits jeder zweite Deutsche an dem Handy-Payment interessiert ist. Das werden die Chefs der beiden größten deutschen Anbieter gerne hören: Vodafone und die Deutsche Telekom und haben zusammen rund 70 Millionen Handykunden. An deren Einkäufe würden sie zukünftig nur zu gerne mitverdienen.

teknixx – NFC, RFID, Mobile Technik, EDV- und Servertechnik

Archiv der Kategorie: NFC