1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Elektromobilität: Wenn das Eichrecht…

Was ist mit "Klonen" gemeint?

  1. Thema

Neues Thema Ansicht wechseln


  1. Was ist mit "Klonen" gemeint?

    Autor: captain_spaulding 25.02.20 - 12:38

    Die UID reicht anscheinend laut Artikel zum "klonen" der Karte. Damit ist es doch schon unsicher selbst wenn die Ladesäule diese nicht anzeigt.
    Oder verstehe ich da was nicht?

  2. Re: Was ist mit "Klonen" gemeint?

    Autor: fg (Golem.de) 25.02.20 - 12:46

    Klar, das ganze Verfahren ist weiterhin unsicher. Aber man muss dazu an funktionierende UIDs gelangen. Das ging über das Aufrufen des Ladevorgangs sehr einfach.

    Grüße,

    Friedhelm Greis
    Golem.de

  3. Re: Was ist mit "Klonen" gemeint?

    Autor: mimimi 25.02.20 - 12:48

    Ja, genau so ist es. Das ist so billig und easy, dass man sich schon ganz schön an den Kopf fassen muss.
    Bei Kreditkarten ist es ja genauso. Nummer reicht - aber hier trägt das Risiko nicht der Bezahlende!

  4. Re: Was ist mit "Klonen" gemeint?

    Autor: Mel 25.02.20 - 12:48

    captain_spaulding schrieb:
    --------------------------------------------------------------------------------
    > Die UID reicht anscheinend laut Artikel zum "klonen" der Karte. Damit ist
    > es doch schon unsicher selbst wenn die Ladesäule diese nicht anzeigt.
    > Oder verstehe ich da was nicht?

    Normalerweise brauchst du zum Klonen die Original Karte um die UID auszulesen.

    Hier kannst du die UID jederzeit an der Säule nachlesen. Ohne jemals die Original Karte in der Hand gehabt zu haben.

  5. Re: Was ist mit "Klonen" gemeint?

    Autor: Quantium40 25.02.20 - 13:09

    fg (Golem.de) schrieb:
    > Klar, das ganze Verfahren ist weiterhin unsicher. Aber man muss dazu an
    > funktionierende UIDs gelangen. Das ging über das Aufrufen des Ladevorgangs
    > sehr einfach.

    Da stellt sich dann die Frage, ob die Vergabe der UIDs durch den Ladekartenanbieter zufällig oder nach einem bestimmten Schema erfolgt.
    In den Zeiten vor CVC und Onlinegültigkeitsprüfung konnte man sich ja "gültige" Kreditkartendaten auch einfach per Algorithmus erzeugen.

  6. Re: Was ist mit "Klonen" gemeint?

    Autor: LASERwalker 25.02.20 - 13:17

    Ja, das siehst du richtig. Und wenn den Anbieter der Ladekarte sequenzielle (1,2,3,4,...) Ids verwendet ist diese auch leicht zu erraten.
    Das Betrifft übrigens nicht nur Ladekarten, auch viele andere Systeme wie zB. die Karten vom lokalen Hallenbad oder Carsharinganbieter sind betroffen.

    Hintergrund ist, dass billige aber unsichere Mifare Classic Karten benutzt werden. Diese haben eine vorprogrammierte Id von 4 oder 7 Byte länge. Theoretisch sollte man die Id nicht selbst schreiben können. In der Praxis gibt es Emulatoren (wie Proxmark) oder, als einfachere und billigere Lösung, Karten mit programmierbaren UIDs vom Chinesen deines Vertrausens. Technisches Wissen wird dazu kaum benötigt.

    Natürlich gibt es bessere Systeme welche mit asymmetrischer Kryptographie arbeiten, wie deine Bankkarte. Aber diese Kosten ein paar Cents mehr. Und der Code um mit diese Karten zu arbeiten ist komplexer als einfach nur sieben Bytes auszulesen.

  7. Re: Was ist mit "Klonen" gemeint?

    Autor: DooMMasteR 25.02.20 - 13:28

    pseudorandom, es wird ein teil der UID genutzt um sie unique zu machen, NXP garantiert einem, dass sie eine UID, selbst, nur einmal herstellen.

    Es gibt aber einfach die Option mit einem Handy oder anderer Hardware (sogar NFC-Karten) eine Mifare-Classic-Karte inkl. UID zu Klonen/Faken, damit ist die UID weiter nur fuer unkritische identifikationen a la Seriennummer geeignet, aber nicht fuer sowas wie ein Bezahlsystem.

    Im Grunde hat man hier schluderig gearbeitet und lieber die 2 cent billo classic Karte genommen, als eine NFC-Karte die HMAC oder ähnliches kann (MIFARE DESFire EV2 usw.) oder gar eine Smartcard.

  8. Re: Was ist mit "Klonen" gemeint?

    Autor: fragtek 25.02.20 - 14:03

    Nur mit Telefonen, welche keine wechselnde NFC UID haben - mit Samsung gehts nicht, mit Oneplus One und 3T gehts.



    2 mal bearbeitet, zuletzt am 25.02.20 14:04 durch fragtek.

  9. Re: Was ist mit "Klonen" gemeint?

    Autor: treysis 26.02.20 - 11:03

    fragtek schrieb:
    --------------------------------------------------------------------------------
    > Nur mit Telefonen, welche keine wechselnde NFC UID haben - mit Samsung
    > gehts nicht, mit Oneplus One und 3T gehts.

    Kommt drauf an, welches Samsung, und auch, welches ROM. Früher habe ich mit meinem S4 meine Unikarte für Gebäudezugang emuliert. Mensa ging logischerweise nicht. Da ist das Guthaben verschlüsselt auf der Karte gespeichert.

  10. Re: Was ist mit "Klonen" gemeint?

    Autor: DooMMasteR 26.02.20 - 12:32

    Oehm, quasi alle geräte haben funktionen um Mifare usw. zu emulieren, per default hat so ein Handy eigentlich nichts, keine UID usw. denn dafuer muss erst ein Dienst da sein, kann sein, dass bestimmte Hersteller sowas implementieren, aber die HW macht das nicht von sich aus und Android auch nicht.

  11. Re: Was ist mit "Klonen" gemeint?

    Autor: treysis 26.02.20 - 13:22

    DooMMasteR schrieb:
    --------------------------------------------------------------------------------
    > Oehm, quasi alle geräte haben funktionen um Mifare usw. zu emulieren, per
    > default hat so ein Handy eigentlich nichts, keine UID usw. denn dafuer muss
    > erst ein Dienst da sein, kann sein, dass bestimmte Hersteller sowas
    > implementieren, aber die HW macht das nicht von sich aus und Android auch
    > nicht.

    Also Android sieht schon vor, dass sowas emuliert wird per NFC. Allerdings sieht die Spezifikation vor, dass die UID dabei jeweils zufällig ist. Manche ROMs/Treiber erlauben halt, dass man die UID selbst definiert.

  12. Re: Was ist mit "Klonen" gemeint?

    Autor: DooMMasteR 26.02.20 - 13:45

    mache ROMs, ja wie die des Nexus 5, Pixel 1, 3, Oneplus 3, Oneplus One, Mi 8 und A3, mehr hab ich nicht da zum Testen :-P
    Aber keines meiner Geräte kann es nicht :-P
    nur für ISO Tags kann das keines der Geräte, aber die Mifare-Emu API sieht das explizit vor, wie es scheint.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Deutsches Krebsforschungszentrum (DKFZ), München
  2. Schaeffler Paravan Technologie GmbH & Co. KG, Schorndorf
  3. Proximity Technology GmbH, Düsseldorf
  4. HYDRO Systems KG, Biberach

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 109€ (auch bei Saturn & Media Markt)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dell Ultrasharp UP3218K im Test: 8K ist es noch nicht wert
Dell Ultrasharp UP3218K im Test
8K ist es noch nicht wert

Alles fing so gut an: Der Dell Ultrasharp UP3218K hat ein schön gestochen scharfes 8K-Bild und einen erstklassigen Standfuß zu bieten. Dann kommen aber die Probleme, die beim Spiegelpanel anfangen und bis zum absurd hohen Preis reichen.
Von Oliver Nickel

  1. Dell Anleitung hilft beim Desinfizieren von Servern und Clients
  2. STG Partners Dell will RSA für 2 Milliarden US-Dollar verkaufen
  3. Concept Duet und Concept Ori Dells Dualscreen-Geräte machen Microsoft Konkurrenz

Buglas: Corona-Pandemie zeigt Notwendigkeit der Glasfaser
Buglas
Corona-Pandemie zeigt Notwendigkeit der Glasfaser

Mehr Datenupload und Zunahme der Sprachtelefonie bringe die Netze unter Druck. FTTB/H-Betreiber bleiben gelassen.
Eine Exklusivmeldung von Achim Sawall

  1. Coronavirus Funktion zur Netflix-Drosselung war längst geplant
  2. Coronakrise China will Elektroautoquote vorübergehend lockern
  3. Corona-Krise Palantir könnte Pandemie-Daten in Europa auswerten

Verschlüsselung: Ist die Crypto AG wirklich Geschichte?
Verschlüsselung
Ist die Crypto AG wirklich Geschichte?

Der Fall der Crypto AG wirbelt in der Schweiz immer noch Staub auf. In Deutschland hingegen ist es auffallend still.
Eine Analyse von Christiane Schulzki-Haddouti

  1. Schweizer Crypto AG Wie BND und CIA eine Verschlüsselungsfirma hackten
  2. Bundesverfassungsgericht Was darf ein deutscher Auslandsgeheimdienst?
  3. Gerichtsverfahren Bundesregierung verteidigt Auslandsspionage des BND