Abo
  1. Foren
  2. Kommentare
  3. Mobile Computing
  4. Alle Kommentare zum Artikel
  5. › NFC in der Analyse: Probleme…

@as (Golem.de): Schade...

  1. Thema

Neues Thema Ansicht wechseln


  1. @as (Golem.de): Schade...

    Autor: Zwangsangemeldet 21.09.14 - 17:40

    der Artikel klang in der Überschrift vielversprechend, da mich gerade die "Probleme" der Nahfunktechnik interessiert hätten. Die Chancen kann ich mir ungefähr ausmalen (sowohl in düsteren, als auch in fröhlich bunten Farben). Damit meine ich aber nicht irgendwelche Kompatibilitäts- oder Standardisierungs-Probleme, sondern andere Probleme, genauer Sicherheitsprobleme:
    - Beim Bezahlen per Handy gibts ja sowieso immer die Gefahr, dass hier Schadsoftware die Bezahlfunktion korrumpiert oder missbraucht
    - In wieweit sind NFC-Transmitter in Handys und passive Chips in Tags gegen Missbrauch geschützt? Werden sich Hacker künftig Sandwiches erschleichen können?
    - Wie sieht es mit den Sicherheitsgefahren aus, die das verwandte RFID hat? Da gibt es ja auch bereits Versuche, die bestätigen, dass mit etwas höherer Sendeleistung und mit entsprechenden Antennen, die kurze Distanz der Auslesbarkeit um ein hohes Vielfaches vergrößern. Lässt sich dadurch praktisch "im Vorbeigehen" Geld klauen? Wie sicher sind die Apps, die im Smartphone die Bezahlung abwickeln?

    - Was ist, wenn ein Smartphone verloren geht oder gestohlen wird? Muss der Nutzer dann neben dem Sperren der SIM-Karte noch mehr veranlassen? Ich nehme an, dass der NFC-Transmitter im Telefon eindeutig identifizierbar ist, und auch mit dem Konto des Eigentümers verbunden ist. Was ist, wenn das Handy zwar gesperrt und alle Daten gelöscht sind, aber irgendwie doch wieder in Gang gebracht wird (Recovery -> Factory Reset), ist dann der NFC-Tag nicht möglicherweise immernoch eine Gefahr für den vorherigen Eigentümer?
    - Wie leicht lassen sich NFC-Tags "fälschen", oder anderweitig das System überlisten?

    Und so weiter ... solche Probleme sehe ich eher als Hinderungsgrund für so eine Technik. Neben dem eher allgemeinen Problem, dass NFC anscheinend derzeit noch weit mehr Strom verbraucht als Bluetooth, und deshalb die Handyakkus dafür noch nicht geeignet sind.

    Leider ist im Artikel davon kaum was zu lesen.

    Und deshalb bleibt NFC in meinem Handy auch weiterhin ausgeschaltet - ich habe es noch nirgends brauchen können. Und wenn doch, hätte ich erst eine spezifische App für genau diese Anwendung installieren müssen (hier sind wir wieder bei den im Artikel genannten Problemen), und es gab in jedem Fall eine nicht-technologische Lösung, die um ein Vielfaches einfacher zu implementieren war. Wobei eine generische App, die alles abdeckt, wofür NFC benutzt werden könnte, selbst wenn sie direkt vom Hersteller des Smartphone-OS kommt, auch irgendwie die Alarmglocken läuten lässt.
    Und dabei habe ich die möglichen Probleme für Privatsphäre und Datenschutz noch nicht mal angerissen...

    Also, ich hätte mir von dem Artikel etwas mehr erwartet, aber vielleicht kommt sowas ja noch mal in Zukunft.

  2. Re: @as (Golem.de): Schade...

    Autor: as (Golem.de) 22.09.14 - 22:07

    Hallo,

    Zwangsangemeldet schrieb:
    --------------------------------------------------------------------------------

    > - Beim Bezahlen per Handy gibts ja sowieso immer die Gefahr, dass hier
    > Schadsoftware die Bezahlfunktion korrumpiert oder missbraucht

    Soviele Secure-Element-Zahlungssysteme gibt es noch nicht in Verbindung mit Smartphones. Wobei Probleme etwa in Paypass schon vor Jahren gefunden wurden. Aber das hat erst einmal nichts mit NFC zu tun. Das steckt ja schon in den damaligen Scheckkarten.

    > - In wieweit sind NFC-Transmitter in Handys und passive Chips in Tags gegen
    > Missbrauch geschützt? Werden sich Hacker künftig Sandwiches erschleichen
    > können?

    Das Secure Element sollte Fälschungssicher sein. Ob das stimmt werden sicherlich einige untersuchen, jetzt wo ein populäres Gerät ein nicht austauschbares Secure Element hat. Normalerweise ist's ja in einer SIM-Karte.

    > - Wie sieht es mit den Sicherheitsgefahren aus, die das verwandte RFID hat?
    > Da gibt es ja auch bereits Versuche, die bestätigen, dass mit etwas höherer
    > Sendeleistung und mit entsprechenden Antennen, die kurze Distanz der
    > Auslesbarkeit um ein hohes Vielfaches vergrößern. Lässt sich dadurch
    > praktisch "im Vorbeigehen" Geld klauen? Wie sicher sind die Apps, die im
    > Smartphone die Bezahlung abwickeln?

    Eigentlich funktioniert NFC nur bei entsperrtem Gerät und bei Bezahlungen sollte es eine Bestätigung geben. Bei unserem damaligem NFC-Test musste die Wallet-App aktiv sein, um überhaupt zu bezahlen. Apple Pay können wir noch nicht testen.

    Aber das kann man jetzt nicht generell sagen. Ich habe beispielsweise NFC auf Symbian-Geräten nie ausprobiert.

    Ich glaube in dem Fall haben aber drahtlose Smartcards mehr potenzielles Risiko. Da kann man ja nicht einfach eine App schließen. Ein Remote-Wipe geht auch nicht. Also muss die Bank angerufen werden. Aber auch hier kommt's auf die Implementierung an. Kleinbeträge gehen vielleicht ohne Bestätigung am Terminal. Große hingegen brauchen welche. Vergleichbar ist das mit dem Versuch den Magnetstreifen zu kapern und so kleine Summen auch ohne Pin zu ergaunern.

    In den USA sind Kreditkarten vergleichsweise unsicher im Design. Selten braucht man eine Pin oder eine Unterschrift. Den Chip können dort viele nicht lesen und verlassen sich auf den Magnetstreifen. Mir ist drüben nur eine Bank untergekommen, die den Chip entdeckte und ihn dann verlangte bei einem Automaten. Dann hebt man auch komplett anders Geld ab, weil man die Karte drinlassen muss ;)


    > - Was ist, wenn ein Smartphone verloren geht oder gestohlen wird? Muss der
    > Nutzer dann neben dem Sperren der SIM-Karte noch mehr veranlassen? Ich
    > nehme an, dass der NFC-Transmitter im Telefon eindeutig identifizierbar
    > ist, und auch mit dem Konto des Eigentümers verbunden ist. Was ist, wenn
    > das Handy zwar gesperrt und alle Daten gelöscht sind, aber irgendwie doch
    > wieder in Gang gebracht wird (Recovery -> Factory Reset), ist dann der
    > NFC-Tag nicht möglicherweise immernoch eine Gefahr für den vorherigen
    > Eigentümer?

    Hier gehts erst einmal nur ums Secure Element. Derartige Sicherheitsüberlegungen haben wir auch noch nicht durchgetestet. Wenn man es nicht gelöscht bekommt und der Angreifer den Fingerabdruck hat, ist das natürlich nicht gut. Wie schnell Banken bei Apple Pay reagieren weiß hierzulande noch keiner.


    > - Wie leicht lassen sich NFC-Tags "fälschen", oder anderweitig das System
    > überlisten?

    Tags gibt es beschreibbar und fest beschrieben. Beim NFC Card Emulation Mode sollte die Sicherheit zugrunde liegen, die emuliert wird. Das kann alles mögliche sein und hat dann erst einmal nichts mit NFC zu tun.

    Wenn es unbedingt Mifare in einer alten Version sein muss, ist NFC unsicher. Wenn es spekulativ SmartMX sein muss, ist's meines Wissens nach bisher sicher.

    Klar ist aber, wer sein NFC-Smartphone (oder Featurephone, NFC ist recht alt) entsperrt auf dem Tisch liegen lässt, idealerweise mit dem Display nach unten, dem kann ich fix ein NFC-Tag mit einem Link zu einer Angriffswebseite auflegen und dann erfolgreich Sicherheitslücken im Browser des Betriebssystems ausnutzen.

    Das hat den Vorteil, dass ich das nicht erst aufwendig eintippen muss im Browser. Bei Apple geht das nach derzeitigem Stand nicht. Das iPhone 6 reduziert NFC anscheinend auf den Card Emulation Mode. Ausprobieren konnte ich das aber noch nicht. Es funktioniert ja nur in den USA. Bei anderen Geräten ist das Implementierungssache. Das Xperia T des Videos könnte ich so angreifen, ja. Auch mit dem aktuellen Patchlevel. Vorausgesetzt ich finde Sicherheitslücken in der Android-Version/dem Browser.

    > Und so weiter ... solche Probleme sehe ich eher als Hinderungsgrund für so
    > eine Technik. Neben dem eher allgemeinen Problem, dass NFC anscheinend
    > derzeit noch weit mehr Strom verbraucht als Bluetooth, und deshalb die
    > Handyakkus dafür noch nicht geeignet sind.

    Möglicherweise ist das der Grund, warum Apple NFC so stark beschränkt. Jedenfalls macht die Antenne keinen Mucks mit einem Testtag, dass Energie aufnimmt und eine LED damit antreibt. So übrigens auch mit einem gesperrtem Android-Smartphone.

    > Leider ist im Artikel davon kaum was zu lesen.

    Ich bin davon ausgegangen, dass die meisten Android-Nutzer schon mit NFC gespielt haben. Schließlich gibt es das da schon recht lange. Also die Basis-Funktionen. In so ein Tag passt außerdem kaum etwas rein.

    Zu NFC als WLAN-Kopplungsmechanismus hatten wir zu Sonys NFC-Kamera für Smartphones etwas. Im Tag steht das WLAN-Passwort im Klartext und kann nicht geändert werden. Bei NFC als Bluetooth-Kopplungshilfe lassen sich auch schöne Dinge ausdenken, mal eben den Ton umzuleiten. Aber das dürfte der Angegriffene schnell merken.

    Aber auch das sind erstmal keine Lücken von NFC sondern Implementierungsprobleme.

    gruß

    -Andy (Golem.de)

    --
    Okuna alias Openbook: @marble
    Instagram: @aroundthebluemarble
    Twitter: @AndreasSebayang
    ( Vorsicht, Bahn- und Flugzeugbilder ;) )

    https://www.golem.de/specials/autor-andreas-sebayang/

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. NOVENTI Health SE, Mannheim (Home-Office möglich)
  2. Fachhochschule Südwestfalen, Hagen
  3. AOK Systems GmbH, Bonn
  4. JOB AG Technology Service GmbH, Münster

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-64%) 35,99€
  2. (-50%) 14,99€
  3. 0,49€
  4. 3,40€


Haben wir etwas übersehen?

E-Mail an news@golem.de


iPhone 11 im Test: Zwei Kameras beim iPhone reichen
iPhone 11 im Test
Zwei Kameras beim iPhone reichen

Das iPhone Xr war der heimliche Verkaufsschlager der letzten iPhone-Generation, mit dem iPhone 11 bekommt das Gerät nun einen Nachfolger. Im Test zeigt sich, dass Käufer auf die Kamerafunktionen der Pro-Modelle nicht verzichten müssen, uns stört auch das fehlende dritte Objektiv nicht - im Gegensatz zum Display.
Ein Test von Tobias Költzsch

  1. Tim Cook Apple-CEO verteidigt die Sperrung der Hongkong-Protestapp
  2. China Apple entfernt Hongkonger Protest-App aus App Store
  3. Smartphone Apple bietet kostenlose Reparatur für iPhone 6S an

Banken: Die Finanzbranche braucht eine neue Strategie für ihre IT
Banken
Die Finanzbranche braucht eine neue Strategie für ihre IT

Ob Deutsche Bank, Commerzbank oder DKB: Immer wieder wackeln Server und Anwendungen bei großen Finanzinstituten. Viele Kernbanksysteme sind zu alt für aktuelle Anforderungen. Die Branche sucht nach Auswegen.
Eine Analyse von Manuel Heckel

  1. Bafin Kunden beklagen mehr Störungen beim Online-Banking
  2. PSD2 Giropay soll bald nahezu allen Kunden zur Verfügung stehen
  3. Klarna Der Schrecken der traditionellen Banken

iPad 7 im Test: Nicht nur für Einsteiger lohnenswert
iPad 7 im Test
Nicht nur für Einsteiger lohnenswert

Auch mit der siebten Version des klassischen iPads richtet sich Apple wieder an Nutzer im Einsteigersegment. Dennoch ist das Tablet sehr leistungsfähig und kommt mit Smart-Keyboard-Unterstützung. Wer ein gutes, lange unterstütztes Tablet sucht, kann sich freuen - ärgerlich sind die Preise fürs Zubehör.
Ein Test von Tobias Költzsch

  1. iPad Einschränkungen für Apples Sidecar-Funktion
  2. Apple Microsoft Office auf neuem iPad nicht mehr kostenlos nutzbar
  3. Tablet Apple bringt die 7. Generation des iPads

  1. Supply-Chain-Angriff: Spionagechips können einfach und günstig eingelötet werden
    Supply-Chain-Angriff
    Spionagechips können einfach und günstig eingelötet werden

    Ein Sicherheitsforscher zeigt, wie er mit Equipment für unter 200 US-Dollar mit einem Mikrochip eine Hardware-Firewall übernehmen konnte. Damit beweist er, wie günstig und realistisch solche Angriffe sein können. Vor einem Jahr berichtete Bloomberg von vergleichbaren chinesischen Spionagechips.

  2. IT an Schulen: Intelligenter Stift zeichnet Handschrift von Schülern auf
    IT an Schulen
    Intelligenter Stift zeichnet Handschrift von Schülern auf

    Stabilo und der Bund wollen einen Stift entwickeln, der Kinder bei Defiziten mit der Handschrift unterstützt. Mit Hilfe von Machine Learning und einer mobilen App analysiert das System das Geschriebene und passt Übungen an. Das Projekt ist mit 1,77 Millionen Euro beziffert.

  3. No Starch Press: IT-Verlag wirft Amazon Verkauf von Schwarzkopien vor
    No Starch Press
    IT-Verlag wirft Amazon Verkauf von Schwarzkopien vor

    Der Fachverlag No Starch Press wirft Amazon vor, Schwarzkopien von Büchern aus seinem Verlagsangebot zu verkaufen. Dabei handele es sich explizit nicht um Drittanbieter, sondern Amazon selbst als Verkäufer. Das geschieht nicht das erste Mal.


  1. 16:54

  2. 16:41

  3. 16:04

  4. 15:45

  5. 15:35

  6. 15:00

  7. 14:13

  8. 13:57