Österreicher deckt NFC-Lücke bei Google auf

Österreicher deckt NFC-Lücke bei Google auf
Ein Forscher des NFC Research Labs an der FH Hagenberg hat bei Googles virtueller Brieftasche eine Sicherheitslücke entdeckt. Durch diese war es möglich, dass die mobile Kreditkarte von einem Dritten übers Internet zum Bezahlen genutzt werden kann. Die futurezone hat den Sicherheitsexperten, der in Googles "Hall of Fame" aufgenommen wurde, getroffen und zur Sicherheit von NFC am Handy befragt.

Bis Jahresende werden rund 100 Millionen Smartphones mit NFC-Chips ausgestattet sein. In London wurde bei den Olympischen Spielen mit NFC das kontaktlose Zahlen erprobt, auch in Österreich laufen diverse Pilotprojekte. Neben Firmen via Visa und Mastercard experimentieren auch die IT-Riesen mit dem Handy-Geldbörserl. Google etwa hat mit Google Wallet eine App für Android-Smartphones auf den US-Markt gebracht, die das Handy auf einfachem Weg in eine virtuelle Brieftasche verwandelt. Doch wie sicher ist NFC am Handy wirklich? Ein österreichischer Sicherheitsforscher an der Fachhochschule Hagenberg hat bei Google Wallet vor kurzem eine Schwachstelle entdeckt. Durch diese war es möglich, das jemand anderer "Wallet" übers Internet zum Bezahlen nutzen konnte.

Michael Roland, Mitarbeiter am NFC Research Lab, hat dazu ein Gerät entwickelt, das eine Chip-Karte emuliert. "Alle Anfragen, die vom Lesegerät kommen, werden in Echtzeit übers Internet an ein Handy weitergeleitet. Auf dem Handy befindet sich installierte Spyware, die die Anfrage an die Kreditkarte leitet. Die Antwort wird dann von der Kreditkarte mit dem Kartenemulator in Echtzeit zurück an das Lesegerät geschickt", erklärt Roland den genauen Vorgang seines Hacks, mit dem man als Angreifer - theoretisch - mit fremden Kreditkarten bezahlen konnte. In der Praxis hat Roland allerdings keine Bezahlungen mit fremden Kreditkarten getätigt, sondern die Schwachstelle direkt an Google gemeldet.

Aufgenommen in Googles "Hall of Fame"
"Zuerst hatte ich Schwierigkeiten, den richtigen Ansprechpartner bei Google zu finden. Als ich dann an die richtigen Leute verwiesen wurde, hat Google jedoch rasch reagiert und die Lücke geschlossen", erzählte Roland der futurezone am Rande des NFC-Kongresses in Hagenberg. Mittlerweile ist es daher nicht mehr möglich, übers Internet auf Google Wallet anderer Menschen zuzugreifen, wenn die Nutzer ihr Smartphone regelmäßig mit Updates versorgt haben. Bei Neuinstallationen von Google Wallet wurde die Lücke automatisch geschlossen. Da der Hagenberger Forscher auch die Lösung für das Sicherheitsproblem maßgeblich ausgearbeitet hat, wurde er bei Google in die "Hall of Fame" für die Sicherheit aufgenommen. Für den Forscher ist das eine "große Ehre". In einem Blog veröffentlich hat Roland seine Forschungsarbeit jedoch nicht. "Ich bin kein Web 2.0-Nutzer", sagt er lächelnd.

Die Lösung aller Sicherheitsprobleme ist auch dies freilich nicht. Google hatte bereits in der Vergangenheit mit der Sicherheit von Wallet zu kämpfen und musste vorübergehend die Zahlungsmöglichkeit mit Prepaid-Karten aussetzen, da das auf einem Smartphone vorhandene Guthaben ohne Displaysperre relativ einfach zugänglich war. Wenn man die Wallet-Daten zurückgesetzt hat, konnte man ohne PIN-Abfrage eine neue PIN vergeben, um über das Guthaben zu verfügen. Diese Lücke ist mittlerweile ebenfalls geschlossen. Doch derartige Sicherheitsprobleme wirken, auch wenn sie grundsätzlich rasch behebbar sind, nicht gerade vertrauenserweckend auf die Menschen und könnten die Durchdringung am Markt verzögern.

"Handy ist zusätzliche Schwachstelle"
"Das Mobiltelefon ist einfach eine zusätzliche Schwachstelle", erklärt Roland. "Man ist davon ausgegangen, dass die Mikrochips in sich sicher und gegen Manipulationen geschützt sind. Selbst wenn man diese aufschleift, kann man nichts von den Daten auslesen. Aber wenn man einen Chip in ein NFC-Telefon einbaut und von einer App raus oder von extern darauf zugreifen kann, sind das ganz neue Möglichkeiten für Angreifer", so der Forscher, der sich im Rahmen seiner Dissertation mit den Sicherheitsrisiken von NFC-Smartphones beschäftigt.

Herkömmliche Kreditkarten mit NFC-Funktion (wie es sie beispielsweise von Visa und Mastercard gibt) sind aus Rolands Sicht im Gegensatz zu NFC-Smartphones "ziemlich sicher". "Sie haben allerdings das Problem, dass die Kredientkartennummer und das Ablaufdatum ausgelesen werden kann. Mit der Nummer kann man bei verschiedenen Online-Shops leider ohne Eingabe des Schutzcodes bezahlen", sagt Roland. Abhilfe dagegen schaffen beispielsweise spezielle NFC-Schutzhüllen, die die Karte vor dem unbefugten Auslesen schützen.

Sicherheitsstandard für NFC-Tags in Sicht
Beim NFC-Smartphone hingegen gibt es auch abseits des Google Wallets immer wieder Sicherheitslücken. Auf der Black Hat in Las Vegas hatte beispielsweise der Sicherheitsexperte Charlie Miller mit Android- und Nokia-Smartphones gezeigt, wie man mit bösartig modifizierten NFC-Tags ohne Eingreifen des Handy-Besitzers Smartphones mit Schadcodes infizieren kann (die futurezone hat berichtet). Auch zu diesem Thema forscht Roland am NFC Research Lab. "Das NFC Forum hat einen Standard rausgebracht, mit dem man NFC-Tags gegen Manipulation absichern kann. Darin hat sich allerdings ein Fehler eingeschlichen, wodurch der Standard vollkommen wirkungslos wurde. Das war für mich der Auslöser, warum ich mich in meiner Arbeit überhaupt auf den Sicherheitsaspekt fokussiert habe. Es war für mich interessant, eine Lösung für dieses Problem zu entwickeln", so Roland.

Derzeit ist dieser mit Rolands Lösung modifizierter Standard, der Smartphones gegen die Manipulation von NFC-Tags schützen soll, erst im "akademischen Bereich" angelangt, aber sobald die Spezifikation tatsächlich veröffentlicht wird, wird es laut Roland "auf jeden Fall Handy-Hersteller geben, die den Standard auf ihren Geräten implementieren". Als erstes werde das Research In Motion sein, so Roland, denn der BlackBerry-Hersteller sei im NFC Forum selbst aktiv.

Öffi-Ticket wiederverwenden
Vergangene Woche haben die Forscher Corey Benninger und Max Sobell aus den USA eine weitere Sicherheitslücke aufgezeigt, über die es möglich ist, verbrauchte Öffi-Tickets in New Jersey und San Francisco mit Hilfe eines NFC-fähigen Android-Smartphones wieder aufzuladen. Die Informationen, die regeln, wie viele Fahrten nach dem Verbrauch eines Tickets noch verfügbar sind, sind bei den Öffi-Systemen direkt auf dem NFC-Chip gespeichert. Mit einer selbst entwickelten App konnten die Forscher nach dem Verbrauchen eines Tickets den Ursprungszustand auf dem Chip wiederherstellen. Dadurch konnte das Ticket erneut benutzt werden. Die Schwachstelle ist bis dato noch nicht behoben.

"Sicherheit ist nicht statisch, sondern verändert sich laufend. Man muss sich daher immer im Detail - für jedes Problem einzeln - mit Lösungsmöglichkeiten beschäftigen", sagt Roland. An der FH Oberösterreich habe man dazu ein eigenes Forschungsprojekt gestartet, das sich ausschließlich mit der Sicherheit für NFC-Smartphones beschäftigen wird. "Hier besteht sicherlich noch Handlungsbedarf."

Kommentare