Blog

Techreligion mit Bezahlfunktion

Es war wieder lustig als riesige Massen an Jüngern der hiesigen Techreligion “Apple und mein iPhone” auf dem Sprung waren sich ein Smartphone zu kaufen das mehr kostet als Einzelne oder Familien pro Monat zum Leben haben. Die Tempel waren ja voll überfüllt. Selbst einen Geldtransporter hat es erwischt. Unsere Gesellschaft hat mehrheitlich definitiv keine Probleme! Das freut mich erstmal grundsätzlich! Ich bin aber tatsächlich ein Anti-Apple-Troll. Nicht nur, weil ich mir für das Geld lieber ne geile Workstation kaufen würde, um wirklich produktiv arbeiten zu können, sondern, weil mir Datenschutz wichtig ist und mein wasser- und stossfestes Bauarbeitermobiltelefon für 80€ alles bietet was ich brauche. Ich kann telefonieren, Fotos machen, Simsen, Musik hören und es ausschalten. Aus eigener Erfahrung weiß ich, dass Ihr sowieso nur Spiele mit dem iPhone spielt, oder Euch Wetterapps kauft, um bloß nicht aus dem Fenster sehen zu müssen. Und mit mindestens drei Wochen ohne Aufladung hält Euer Smartphone auch nicht mit mir mit. Aber, es gibt Euch nunmal. Applejünger. Ich erkläre Euch jetzt mal, warum JETZT der Zeitpunkt gekommen ist die Geräte dieses Anbieters abzuschaffen und nicht mehr auf die Werbung hereinzufallen:

Mit dem neuen iPhone 6 hat Apple die NFC-Funktion (Near Field Communication) für mobiles Bezahlen entdeckt. Das gibt es schon länger, aber Apple benötigt immer eine Weile, um neue Innovationen auf den Markt zu bringen. Mit dieser Technik/Funktion wird Apple ne Menge Schotter nebenbei machen. Banken und Gewerbetreibende haben in der Regel keine Scheu davor die zusätzlich entstehenden Kosten gleichmäßig auf alle Kunden zu verteilen. Die Bankgebühren und die Gewinne für Apple werden wohl damit auch zu Lasten von Nicht-Apple-Jüngern gehen. Die Rentnerin mit der Minirente von Nebenan und ich müssen also für den Käse bezahlen auf den Ihr hereingefallen seit.

Euer Smartphone wird zur elektronischen Brieftasche. Damit werdet Ihr interessant für Near-Field-Communication-Hacker und Kriminelle einfacherer Kategorie! Eine Bezahlfunktion im Mobiltelefon, die per Funk Zahlvorgänge auslöst, die mit dem Fingerabdruck bestätigt werden, ist definitv ein einfacheres Angriffsziel als EC-Kartenautomaten, oder manipulierte Kartenleser im Schoppingcenter. Warum? Allein per Diebstahl und mit einem Fingerabdruck von Euch wird das Einkaufen einfach. Ihr wisst, dass der Fingerabdrucksensor wieder ziemlich schnell gehackt wurde. Ein gezielter Social Engineering Angriff und Ihr werdet den gleichen Schadensersatz bekommen, den Ihr erhaltet, wenn man Euch die in Leder gebundene Geldbörse mit Bargeld klaut. Nämlich NICHTS! Sobald die Bezahlfunktion in Europa zu haben ist, werdet Ihr diese entsprechenden Nutzungsbedingungen erfahren. Da gehe ich jede Wette ein! Desweiteren bin ich gespannt, ob man bei der Bezahlfunktion die Sicherheitsmechanismen grundsätzlich auch deaktivieren kann. Ich gehe davon aus, denn es wird Nutzer geben, die das verlangen. Es gibt ja Nutzer, die glauben, dass Sie keine Sicherheitsmechanismen benötigen. Ich weiß, dass Ihr wisst, dass dazu viele Apple-Nutzer gehören, die sich für unantastbar halten. Sollte das nicht so sein, bin ich der festen Überzeugung, dass Near-Field-Communication-Hacker sehr kurzfristig Möglichkeiten finden werden per funkunterstütztem Lesegerät von Euren völlig überteuerten Smartphones Abbuchungen vornehmen zu lassen. Mit einem präparierten System durch die Innenstadt von Berlin gehend und von einfach jedem Smartphone mit NFC an dem man vorbei geht, wird abgebucht. Zwar muss man nah an das Smartphone heran, aber das ist im Schlussverkauf kein Problem. Anschließend kann der Angreifer nach Polen zum Einkaufen fahren. Oder eben der klassische Diebstahl im Restaurant, inklusive Glas mit Eurem Getränk und Fingerabdruck. Umso weiter diese Technik verbreitet wird, desto höher wird das Interesse sein sie kriminell auszunutzen.

Natürlich gibt es die NFC-Technik bereits in Geräten anderer Herseller auch im Smartphonebereich! Für die gilt die gleiche Warnung! Lasst es sein! Keine Technik bietet eine ausreichende Sicherheit in meinem Augen. Ihr werdet dafür auf die eine oder andere Art zur Kasse gebeten! Ich dann übrigends auch!

 

Update:

Ein Kommentator wies mich darauf hin, dass die NFC-Funktion in den neuen Kreditkarten und Girokarten auch enthalten ist. Ist ja auch nicht mehr so alt die Technik. Je nach Bank können Transaktionen bis ca. 25 Euro ohne PIN per Funk getätigt werden. Der Missbrauch ist hier auch einmal per Diebstahl möglich. Begrenzt höchstens durch Euer tägliches oder wöchentliches oder monatliches Limit und wann Ihr feststellt, dass die Karte weg ist. Ein Relay-Angriff mit einer geklonten Karte ist vielleicht ein Szenario dessen Aufwand aber ziemlich groß wäre. Für einen größeren Raubzug ist die PIN nötig. Die Aktivierung der Karte erfolgt durch ein elektromagnetisches Feld. Die Karte benötigt ja auch Strom zum Funken.

Im Vergleich zum Smartphone muss man folgendes Beachten: Smartphones haben ein Betriebssystem, das man hacken kann. Auf Smartphones laufen Apps verschiedener Hersteller. Zwar sollen die Apps in der Regel getrennt von der Zahlfunktion liegen, aber seien wir ehrlich: Der Kreativität in diesen Bereichen sind keine Grenzen gesetzt. Zusätzlich bleibt die Frage was mit Telefonen passiert in denen jegliche Sicherheitsmechanismen (PIN, Fingerabdruck, Grafik etc.) deaktiviert werden, weil der Nutzer es will , also sprich: ein Idiot ist! Zur Absicherung des Zahlvorgangs würde ich das als Bank mitloggen lassen wollen. Bei Diebstahl hilft bekanntlich vielleicht nicht mal der Fingerabdruck.

Bei beiden Szenarien sind auch manipulierte Händlergeräte gefährlich. Also die, die das Geld eines normalen Geschäfts gleich nach Panama senden und die, die es heimlich tun. Ein zugelassenes Lesegerät und ein übernommenes Konto eines ungewollten Mittelsmann werden wohl ausreichen.

Ich bleibe dabei, dass das Bezahlen per Funk in Kombination mit einem Smartphone riskanter ist und größere Angriffsmöglichkeiten bietet. Aber auch die normalen Kreditkarten sind risikobehaftet. Bedauerlicherweise kann man sich dagegen nicht wehren, außer man kündigt seine Karten. Achtet auf das Funksymbol auf Euren Karten und auf die Geräte die Ihr nutzt.

Ich gehe auch davon aus, dass das Scannerszenario in der Einkaufspassage nicht lange auf sich warten lässt.

Tagged , , , , , ,