Dipl.-Inform. Carsten Eilers

Fangen wir beim "A" an - "Apple Pay". Das ist sicher, wenn die Banken die neu registrierten Kreditkarten korrekt prüfen. Was sie anfangs nicht getan haben. In Zukunft aber, nachdem das Problem bekannt geworden ist, schon im eigenen Interesse tun werden. Eigentlich sollte man annehmen, dass das von Anfang an der Fall ist, aber anscheinend waren einige Banken der Ansicht, ihre Methoden seien sicher genug. Die wurden nun auf die harte Tour eines besseren belehrt und dürften ihre Lektion gelernt haben.

Kommen wir zum "N" wie "NFC". Die Relay-Angriffe auf NFC sind ein großes Problem. Nicht nur für EMV-Karten (Europay, Mastercard, Visa), sondern allgemein, denn sie funktionieren ja auch mit anderen Anwendungen. Ein Teil der vorgeschlagenen Schutzmaßnahmen sind zwar gut gemeint, aber nicht gut gemacht. Die NFC-basierten Karten sollen ja gerade ohne weiteren Aufwand genutzt werden können. Wenn man die erst aus der Tasche holen und dann womöglich auch noch einschalten muss, oder wenn ein zweiter Faktor benötigt wird, kann man auch das sicherere Chip-und-PIN-Verfahren mit Einstecken der Karte in das Terminal nutzen.

Womit wir zum "P" wie "PoS-Terminal" kommen. Was die Sicherheit von deren Kommunikationsprotokollen betrifft - da hätte ich wirklich mehr erwartet. Mehr Sicherheit, wohlgemerkt. Dass gleich zwei Protokolle, bei denen es ja im Grunde direkt um Geld geht, so gravierende Schwachstellen aufweisen, dass sie Angriffen quasi schutzlos ausgeliefert sind, ist doch erstaunlich. Man sollte doch annehmen, dass die Banken etc. ein Interesse daran haben, ihre Kommunikation zu schützen. Das scheint wohl doch nicht der Fall zu sein.

Und noch einmal "P": Die "pushTAN-Apps". Egal ob nun von der Sparkasse, einer Bank oder wem auch immer - die ist ja wohl ein schlechter Witz. Oder eine Arbeitsbeschaffungsmaßnahme für Cyberkriminelle. Es ist doch allgemein bekannt, dass nur eine Zwei-Faktor-Authentifizierung (oder in diesem Fall - Autorisierung) sicher ist. So wie es früher mit PIN (Wissen) und TAN-Liste (Besitz) der Fall war. Und danach mit PIN und ChipTAN (Besitz der Chipkarte, nach wie vor sicher) und PIN und mTAN (Besitz des Handys).

Die mTANs sind nicht mehr sicher, weil sie von Schadsoftware ausgespäht werden. Und dann kommt jemand auf die Idee, PIN und TAN auf ein Gerät zu packen? Und denkt womöglich noch, dass das ja zwei Faktoren sind?

Dass das nicht sicher ist, sollte doch eigentlich jeder sofort erkennen. Als kleiner Tipp: Warum ist es wohl verboten, auf dem Smartphone, mit dem man Onlinebanking macht, die mTAN zu empfangen? Der Empfang einer pushTAN auf diesem Gerät ist dann bitte aus welchen Grund sicherer?

Und hier noch die Links und Literaturverweise aus dem Artikel:

• [1] Carsten Eilers, entwickler.de: "Apple Pay: Wie funktioniert es und: Wie sicher ist es?"
• [2] Apple Support: "Apple Pay security and privacy overview"
• [3] Cherian Abraham; Drop Labs: "Smart Mouse Traps and Lazy Mice"
• [4] Cherian Abraham; Drop Labs: "Rampant: Explaining the current state of Apple Pay Fraud"
• [5] Charles Arthur; The Guardian: "Apple Pay: a new frontier for scammers"
• [6] Jordi Van den Breekel; Black Hat Asia 2015: "Relaying EMV Contactless Transactions Using Off-the-Shelf Android Devices"
• [7] EMVco: "EMV Contactless Specifications for Payment Systems"
• [8] Ricardo J. Rodríguez, Pepe Vila; Hack in the Box Amsterdam 2015: "Relay Attacks in EMV Contactless Cards with Android OTS Devices"
• [9] Ricardo J. Rodríguez, Pepe Vila; Proceedings of the 11th Workshop on RFID Security (RFIDsec), 2015: "Practical Experiences on NFC Relay Attacks with Android: Virtual Pickpocketing Revisited" (PDF)
• [10] Ricardo J. Rodríguez, José Vila; Rooted CON 2015: "On Relaying NFC Payment Transactions using Android devices" (Präsentation auf Slideshare)
• [11] Peter Fillmore; Black Hat USA 2015: "Crash & Pay: How to Own and Clone Contactless Payment Devices"
• [12] Samy Kamkar: "MagSpoof - "wireless" credit card/magstripe spoofer"
• [13] Fabian Bräunlein, Philipp Maier, Karsten Nohl; 32. Chaos Communication Congress 32C3: "Shopshifting - The potential for payment system abuse" (Video des Vortrags)
• [14] Vincent Haupert; 32. Chaos Communication Congress 32C3: "(Un)Sicherheit von App-basierten TAN-Verfahren im Onlinebanking"
• [15] Vincent Haupert, Tilo Müller;, Forschungsgruppe Systemsicherheit und Softwareschutz, Uni Erlangen: "(Un)Sicherheit von App-basierten TAN-Verfahren im Onlinebanking" (Video des Vortrags)
• [16] Jürgen Schmidt: Heise online: "Unsichere App-TAN: Sparkasse verteidigt ihr pushTAN-Banking"

Carsten Eilers