1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › Mobile Payment: Apple soll NFC…

In der Form freigeben von NFC für Banking Apps sicher keine gute Idee

  1. Thema

Neues Thema Ansicht wechseln


  1. In der Form freigeben von NFC für Banking Apps sicher keine gute Idee

    Autor: senf.dazu 15.11.19 - 17:19

    Wie es beschrieben ist - die Apple Pay Lösung basiert auf dem Sicherheitschip - erheblich schwieriger anzugreifen als normale Apps.

    Bei normalen Bezahlaktionen ist nur begrenzt Geld im Spiel da es ja seitens der Banken meist tägliche und wöchentliche Limits im Bereich von 1000..2000¤ gibt. Da kann also bei rechtzeitigem Sperren nicht gar so viel passieren. Wenn's aber um die Authorisierung größerer Beträge, z.B. für Geldanlagen oder Haus oder Autokauf hört der Spaß mit diesem App Bastelkram eigentlich auf.

    Ne App mag man durchaus zum Anstoßen/Eingeben einer Zahlung verwenden - die Authorisierung sollte dann aber ausschließlich über den Sicherheitschip erfolgen. Wenn man also Apple zur Verfügbarmachung eines solchen sicheren Authorisierungsvorgangs (Bank schickt ein die Transaktion beschreibenes kurzes Dokument in standarisierter bank- und transaktionstypunabhängiger Form über einen sicheren Kanal ans Handy, das stellt das Dokument über eine sichere Ausgabe zur Kontrolle da, und mit sicherer Biometrie/Tastatur kann man dann die Transaktion authorisieren oder ablehnen. Das dargestellte Dokument ist dann auch das was in der Postbox erscheint) bewegen könnte wär das sicher der bessere Weg.

    Die direkte Verwendung von NFC durch durch die Banking Apps sollte Apple bewußt weiterhin außen vor halten - um den Stand der Technik für sichere Anwendungen sicherzustellen. Das macht Apple soweit schon ganz richtig so - ganz im Interesse der Handynutzer/besitzer.



    5 mal bearbeitet, zuletzt am 15.11.19 17:28 durch senf.dazu.

  2. Re: In der Form freigeben von NFC für Banking Apps sicher keine gute Idee

    Autor: ibsi 15.11.19 - 17:41

    Man könnte auch einen eigenen Bereich in der secure enclave einbauen, so daß dort jede App reinschreiben und lesen kann. Aber halt jede app nur für sich.
    Dachte sogar das ist so (habe kein iPhone, weil ich kein iPhone habe :D). Ähnlich wie die Apps auch ihre eigenen Datenbanken haben; jeder für sich.

  3. Re: In der Form freigeben von NFC für Banking Apps sicher keine gute Idee

    Autor: LinuxMcBook 15.11.19 - 18:42

    Egal wie sicher der Chip ist, Transaktionen z.B. für den Hauskauf will ich darüber trotzdem nicht freigeben. Denn selbst wenn Apple die alleinige Kontrolle behält, der Unsicherheitsfaktor bleibt doch stehts, dass man die Zahlung auch mit einem abgeguckten 4 stelligen PIN freigeben kann oder sich den Fingerabdruck auf eine Folie druckt...

  4. Re: In der Form freigeben von NFC für Banking Apps sicher keine gute Idee

    Autor: anonym 16.11.19 - 04:16

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------
    > Egal wie sicher der Chip ist, Transaktionen z.B. für den Hauskauf will ich
    > darüber trotzdem nicht freigeben.

    Und wann ist aus dem Bezahlen bei Rewe jetzt ein Hauskauf geworden?

  5. Re: In der Form freigeben von NFC für Banking Apps sicher keine gute Idee

    Autor: LinuxMcBook 16.11.19 - 04:20

    anonym schrieb:
    --------------------------------------------------------------------------------
    > LinuxMcBook schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Egal wie sicher der Chip ist, Transaktionen z.B. für den Hauskauf will
    > ich
    > > darüber trotzdem nicht freigeben.
    >
    > Und wann ist aus dem Bezahlen bei Rewe jetzt ein Hauskauf geworden?

    Der TE senf.dazu hat irgendsowas geschrieben:
    > "Wenn's aber um die Authorisierung größerer Beträge, z.B. für Geldanlagen oder Haus oder Autokauf hört der Spaß mit diesem App Bastelkram eigentlich auf."

  6. Re: In der Form freigeben von NFC für Banking Apps sicher keine gute Idee

    Autor: GeeGee 16.11.19 - 11:11

    Unfundiert, da fehlt jegliche Begründung in deiner Argument.
    Wozu soll der TPM-Chip denn bei der Zahlung verwendet werden? Wenn die App ein Einmaltoken aus dem Netz bezieht, gibt es keinen Grund. Einzig für die Identifikation der Gerätes gegenüber dem Server könnte ein private Key auf dem TPM hilfreich sein.
    Android schafft es ja auch, das TPM für alle Apps zu öffnen, also bekommt Apple das auch hin.
    Bezüglich NFC muss Apple endlich nachziehen, damit U2F&Fido2 endlich per Yubikey NFC etc. funktionieren. Das macht aber nur dann Sinn, wenn auch jede App darauf zurückgreifen kann. Und wo wir gerade dabei sind fordere ich die Zulassung weiterer Browser engines...

  7. Re: In der Form freigeben von NFC für Banking Apps sicher keine gute Idee

    Autor: Bouncy 16.11.19 - 17:05

    senf.dazu schrieb:
    --------------------------------------------------------------------------------
    > Wie es beschrieben ist - die Apple Pay Lösung basiert auf dem
    > Sicherheitschip - erheblich schwieriger anzugreifen als normale Apps.
    Das soll man jetzt blind glauben? Kann jemand, der nicht für Apple arbeitet, das prüfen? Klingt für mich nach dreister Marketinglüge. Beweisen können sie es nicht, behaupten es aber trotzdem - wie in aller Welt kannst du das dann einfach glauben???

  8. Re: In der Form freigeben von NFC für Banking Apps sicher keine gute Idee

    Autor: tommyk 24.11.19 - 10:47

    LinuxMcBook schrieb:
    --------------------------------------------------------------------------------
    > Egal wie sicher der Chip ist, Transaktionen z.B. für den Hauskauf will ich
    > darüber trotzdem nicht freigeben. Denn selbst wenn Apple die alleinige
    > Kontrolle behält, der Unsicherheitsfaktor bleibt doch stehts, dass man die
    > Zahlung auch mit einem abgeguckten 4 stelligen PIN freigeben kann oder sich
    > den Fingerabdruck auf eine Folie druckt...

    1. Hauskauf läuft eh über Notar
    2. Wo wird der PIN abgeguckt? Beim Bezahlen? Nein, mit Apple Pay und auch mit GP braucht man auch über 25¤ keine PIN-Eingabe, bei Apple Pay muss man auch mit Fingerprint oder Face-ID alle Beträge authorisieren, was ein Vorteil ist.
    3. Fingerabdruck auf Folie funktioniert nicht bei Apple (Pay). Face ID hatte mal bei Samsung mit Foto funktionert, aber Apple erkennt, dass es sich um ein Foto handelt.
    Also bitte, immer zuerst einmal informieren.

  9. Re: In der Form freigeben von NFC für Banking Apps sicher keine gute Idee

    Autor: tommyk 24.11.19 - 11:01

    GeeGee schrieb:
    --------------------------------------------------------------------------------
    > Unfundiert, da fehlt jegliche Begründung in deiner Argument.
    > Wozu soll der TPM-Chip denn bei der Zahlung verwendet werden? Wenn die App
    > ein Einmaltoken aus dem Netz bezieht, gibt es keinen Grund. Einzig für die
    > Identifikation der Gerätes gegenüber dem Server könnte ein private Key auf
    > dem TPM hilfreich sein.
    > Android schafft es ja auch, das TPM für alle Apps zu öffnen, also bekommt
    > Apple das auch hin.
    > Bezüglich NFC muss Apple endlich nachziehen, damit U2F&Fido2 endlich per
    > Yubikey NFC etc. funktionieren. Das macht aber nur dann Sinn, wenn auch
    > jede App darauf zurückgreifen kann. Und wo wir gerade dabei sind fordere
    > ich die Zulassung weiterer Browser engines...

    GeeGee, ihr kapiert es einfach nicht. Das geht jetzt schon über ein Jahr so.
    1. Apple Pay funktioniert komplett offline, anders als GooglePay, letztere Speichern 5 Tokens auf Android Handys damit es ohne Netz 5 mal funktioniert.
    2. Zum Bezahlen ist die Sicherheitsarchitektur von Apple einmalig, es gibt zurzeit nichts sichereres und gleichzeitig nutzerfreundlicheres, komfortableres. Apple hat die Sache zuende gedacht, Google Pay auch, aber ein wenig anders.
    3. Ja, wenn der NFC für andere Dinge, die nicht so riskant sind freigegeben ist, dann könntes du recht haben, aber bitte nicht fürs Bezahlen.

  10. Re: In der Form freigeben von NFC für Banking Apps sicher keine gute Idee

    Autor: tommyk 24.11.19 - 11:04

    Bouncy schrieb:
    --------------------------------------------------------------------------------
    > senf.dazu schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wie es beschrieben ist - die Apple Pay Lösung basiert auf dem
    > > Sicherheitschip - erheblich schwieriger anzugreifen als normale Apps.
    > Das soll man jetzt blind glauben? Kann jemand, der nicht für Apple
    > arbeitet, das prüfen? Klingt für mich nach dreister Marketinglüge. Beweisen
    > können sie es nicht, behaupten es aber trotzdem - wie in aller Welt kannst
    > du das dann einfach glauben???

    Doch es ist von Experten anerkannt, kann auch in der Fachpresse nachgelesen werden. Das geht jetzt schon ein Jahr so, ihr hattet genug Zeit euch zu informieren und nicht einfach irgendwelche Behauptungen in den Blocks zu veröffentlichen

  11. Re: In der Form freigeben von NFC für Banking Apps sicher keine gute Idee

    Autor: senf.dazu 24.11.19 - 11:52

    GeeGee schrieb:
    --------------------------------------------------------------------------------
    > Unfundiert, da fehlt jegliche Begründung in deiner Argument.
    > Wozu soll der TPM-Chip denn bei der Zahlung verwendet werden? Wenn die App
    > ein Einmaltoken aus dem Netz bezieht, gibt es keinen Grund. Einzig für die
    > Identifikation der Gerätes gegenüber dem Server könnte ein private Key auf
    > dem TPM hilfreich sein.
    > Android schafft es ja auch, das TPM für alle Apps zu öffnen, also bekommt
    > Apple das auch hin.
    > Bezüglich NFC muss Apple endlich nachziehen, damit U2F&Fido2 endlich per
    > Yubikey NFC etc. funktionieren. Das macht aber nur dann Sinn, wenn auch
    > jede App darauf zurückgreifen kann. Und wo wir gerade dabei sind fordere
    > ich die Zulassung weiterer Browser engines...

    Du möchtest also NFC öffnen um einen Yubikey zu verwenden. Um dann mit einer Banking App - und - Yubikey sichere Transaktionen zu ermöglichen. Das wär sicher ein guter zweiter Faktor. Was aber bei der Lösung dann nicht existiert ist eine sichere PIN oder Biometrie Eingabe und Ausgabe. Sprich bei der Transaktionsabfrage könnte die auf dem gehackten unsicheren Systemprozessor laufende unsichere Banking App dir einen Fakebildschirm statt der echten Transaktionsdaten anzeigen, deine Fingerabdrücke oder PIN Eingaben mitprotokollieren oder die Ok Meldung an die Bank faken. Wenn die - und die Antwort an die Bank - eben nicht im sicheren Bereich ablaufen. Das einzige was dir der Yubikey bringt ist das die Bank weiß das es dein Yubikey ist. Aber nicht ob du oder eine gehackte App mit der Bank kommunizieren. Daneben ist es aufwendig - und unnötig - sowohl mit Handy als auch mit Yubikey rumzuhantieren.

    Yubikey gleich ins Handy einbauen ist da praxisgerechter. Huch da ist ja schon ein Sicherheitschip. Aka kleiner "sicherer" Prozessor der ausschließlich "sichere" Progrämmchen ausführt und statt des dicken Systemprozessors und beliebiger 100 Apps mit der Bank kommuniziert. Kann man den doch gleich auch als "sicheren" Yubikey verwenden. Damit wird dein Handy dann zum Yubikey - den du in deinem Besitz hast.

    Was der Yubikey heute als Manko hat - er hat weder sichere Tastatur noch sichere Anzeige noch sichere rein lokal arbeitende Biometrie - hat das Handy das aber alles. Und bei Handys mit einem ausgefeilten Sicherheitskonzept kümmert sich der Sicherheitschip um all diese Ein-Ausgabekomponenten - so das der Systemprozessor und Apps nicht dazwischenfunken können. Die Apple Pay Authorisierung braucht z.B. gar keine Mitwirkung einer "unsicheren" App.

    Es ist sicher nicht unmöglich auch die Sicherheitschips und ihre Software zu hacken - aber es ist beträchtlich schwieriger als bei den Systemprozessoren und Apps. Genau das ist nämlich ihre einzige Daseinsberechtigung - das einzige Ziel auf das deren Entwickler hin arbeiten.

  12. Re: In der Form freigeben von NFC für Banking Apps sicher keine gute Idee

    Autor: senf.dazu 24.11.19 - 12:05

    Apple hat schon Prozesse gegen eigene Staatsorgane geführt um Anordnungen dazu "Zweitschlüssel" oder "Hintertüren" ins eigene Schutzsystem einzubauen zu blockieren.

    Apple wirbt damit das Privatshäre und Schutz der eigenen Daten heilig ist. Mir fällt im Augenblick kein anderes Unternehmen ein das das tut - und so in der öffentlichen Diskussion massiv Stellung bezieht.

    Und natürlich sehen sich Sicherheitsforscher die Apple Lösungen an - und versuchen auch Apple Handys zu hacken. Das gelingt ja hier und da auch immer mal wieder - in den frischeren geht's dann aber eher nicht mehr. Sicherheit ist ein ewig währendes Wettrennen bei dem man sich nicht ausruhen kann. Sowohl bei Angriffen von der politischen Seite, als auch der der "Unterwelt".

    Apple arbeitet auch daran Gesundheitskarten und Medizinapps, aber auch Ausweisdokumente wie Reisepass und Führerschein ins Handy zu bringen - da ist technische Zuverlässigkeit Pflicht. Stichwort Integration von Portemonnaie und Schlüsselbund ins Handy.

    Apple ist groß genug um eine Truppe von eigenen Sicherheitsfachleuten zu bezahlen - und sie haben einen guten geschäftlichen Grund - mehr hochpreisige Handyverkäufe und etwas von dem Geld das bislang die Banken einsammeln in die eigene Tasche zu bekommen - dafür. Ist auch nicht so verkehrt das sich statt 100 Banken nun eine Firma (oder ein paar) die wirklich was von Computertechnik verstehen um die technische Sicherheitslösung kümmern - das nennt sich Arbeitsteilung. Das jede Bank einzeln ne Sicherheitslösung strickt statt das sie alle zusammen einen Dienstleister damit beauftragen ist ne ziemlich kranke Lösung. Auch für die Kunden wenn sie mal ne Bank wechseln.

    Insgesamt gibt die Summe der Kleinigkeiten für mich ein deutlich positives Bild - deutlich besser als das z.B. unserer Banken, denen geht erklärtermaßen Bequemlichkeit (Kunden laufen sonst weg ..) vor Sicherheit.



    7 mal bearbeitet, zuletzt am 24.11.19 12:18 durch senf.dazu.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main, Wolfsburg, Zwickau, Dresden
  2. über duerenhoff GmbH, Frankfurt
  3. Deloitte, Hamburg
  4. Elektrobit Automotive GmbH, Ulm

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-74%) 15,50€
  2. 20,49€
  3. (-80%) 9,99€
  4. 2,49€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Netzwerke: Warum 5G nicht das bessere Wi-Fi ist
Netzwerke
Warum 5G nicht das bessere Wi-Fi ist

5G ist mit großen Marketing-Versprechungen verbunden. Doch tatsächlich wird hier mit immensem technischem und finanziellem Aufwand überwiegend das umgesetzt, was Wi-Fi bereits kann - ohne dessen Probleme zu lösen.
Eine Analyse von Elektra Wagenrad

  1. Rechenzentren 5G lässt Energiebedarf stark ansteigen
  2. Hamburg Telekom startet 5G in weiterer Großstadt
  3. Campusnetze Bisher nur sechs Anträge auf firmeneigenes 5G-Netz

Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Microsoft Xbox Scarlett streamt möglicherweise schon beim Download
  2. Apple und Google Die wollen nicht nur spielen
  3. Medienbericht Twitch plant Spielestreaming ab 2020

Smarter Akku-Lautsprecher im Praxistest: Bose zeigt Sonos, wie es geht
Smarter Akku-Lautsprecher im Praxistest
Bose zeigt Sonos, wie es geht

Der Portable Home Speaker ist Boses erster smarter Lautsprecher mit Akkubetrieb. Aus dem kompakten Gehäuse wird ein toller Klang und eine lange Akkulaufzeit geholt. Er kann anders als der Sonos Move sinnvoll als smarter Lautsprecher verwendet werden. Ganz ohne Schwächen ist er aber nicht.
Ein Praxistest von Ingo Pakalski

  1. ANC-Kopfhörer Bose macht die Noise Cancelling Headphones 700 besser
  2. Anti-Schnarch-Kopfhörer Bose stellt Sleepbuds wegen Qualitätsmängeln ein
  3. Noise Cancelling Headphones 700 im Test Boses bester ANC-Kopfhörer sticht Sony vielfach aus

  1. Half-Life: Testspieler schaffen 2 bis 3 Stunden Alyx am Stück
    Half-Life
    Testspieler schaffen 2 bis 3 Stunden Alyx am Stück

    Virtual Reality kann anstrengend sein, das nur für VR geplante Half-Life Alyx soll aber Spaß machen - so viel, dass sich Spieler im Versuchslabor länger damit beschäftigen als vom Entwickler erwartet. Valve hat noch ein paar weitere neue Informationen zum Gameplay veröffentlicht.

  2. Soziales Netzwerk: Medienanstalt geht wegen Pornografie gegen Twitter vor
    Soziales Netzwerk
    Medienanstalt geht wegen Pornografie gegen Twitter vor

    Laut der Medienanstalt Hamburg/Schleswig-Holstein macht sich Twitter strafbar, indem es Profile nicht sperrt oder löscht, die pornografisches Material verbreiten. Ein entsprechendes Verfahren ist eingeleitet worden, es drohen ein Bußgeld und eine Untersagung.

  3. The Eliminator: Forza Horizon 4 bekommt Battle-Royale-Modus
    The Eliminator
    Forza Horizon 4 bekommt Battle-Royale-Modus

    Bis zu 72 Fahrer können an einem neuen Battle-Royale-Modus namens The Eliminator teilnehmen, den Microsoft kostenlos für das Rennspiel Forza Horizon 4 anbietet. Einzige Regel: möglichst lange überleben.


  1. 17:28

  2. 16:54

  3. 16:26

  4. 16:03

  5. 15:17

  6. 15:00

  7. 14:42

  8. 14:18