Smartphone-App liest Bankomatdaten aus

7. Jänner 2014, 21:32
677 Postings

Sicherheitslücke bei NFC-Karten: Informationen über die letzten Transaktionen und Quick-Guthaben einfach einsehbar

Mit einer neuen Smartphone-App lassen sich Informationen von österreichischen Bankomatkarten, die mit dem Übertragungsstandard Near Field Communication (NFC) ausgestattet sind, auslesen. Darunter Informationen über die letzten Transaktionen, die mit der Karte getätigt wurden, oder das Quick-Guthaben, das dem Karteninhaber zur Verfügung steht. An die Informationen gelangt man relativ einfach: Man muss die Karte lediglich in unmittelbarer Nähe des NFC-fähigen Handys platzieren, die Android-Applikation tut den Rest. In drei von vier Fällen gelang es dem WebStandard, Transaktionen und Quick-Guthaben auszulesen.

NFC im Supermarkt

Bankomatkarten mit NFC-Funktechnik werden seit April 2013 an Kunden in Österreich ausgegeben. NFC macht es möglich, an Bankomatkassen ohne Einstecken der Karte und der Eingabe eines PIN-Codes Kleinbeträge von bis zu 25 Euro zu bezahlen. Mittlerweile ist es bei allen großen Lebensmittelketten möglich, kontaktlos zu bezahlen. Wird eine Karte gestohlen, kann ein maximaler Schaden von 125 Euro entstehen.

Neugieriger Programmierer

"Ich habe die App programmiert, weil ich vor kurzem eine Bankomatkarte mit NFC-Funktion bekommen habe und neugierig war", sagt Johannes Zweng dem WebStandard. Der Programmierer hat sich in den Weihnachtsferien mit der Technik eingehend beschäftigt und die Software, die über Googles Play Store kostenlos heruntergeladen werden kann, geschrieben. "Hochsensible Daten wie den PIN-Code kann das Programm nicht auslesen. Der Bezahlvorgang selbst ist verschlüsselt", versichert Zweng.

Allerdings soll man mit dem Handy auch Befehle an die Karte senden können. Damit wäre es theoretisch möglich, die Plastikkarten lahmzulegen. "Etwa indem man dreimal den falschen PIN sendet", schildert Zweng. Der Programmierer hat seine App bisher nur mit österreichischen Bankomatkarten getestet. Er schließt aber nicht aus, dass auch Karten anderer europäischer Anbieter auslesbar sind.

Sicherheitslücke wird bis März gestopft

"Das Thema ist uns schon länger bekannt", bestätigt Harald Flatscher vom NFC-Bankomatkartenanbieter Payment Services Austria dem WebStandard. Er entwarnt: "Es können keine kritischen Daten ausgelesen werden." Trotzdem will man bis März diese Sicherheitslücke schließen.

Kommunikation über kurze Distanzen

Mit NFC ist eine Kommunikation nur über sehr kurze Distanzen bis maximal zehn Zentimeter möglich, typisch sind ein bis vier Zentimeter. Die Übertragungsgeschwindigkeit ist mit bis zu 414 Kilobyte pro Sekunde verhältnismäßig niedrig.

Kritik von Konsumentenschützern

Die Technik kam in den vergangenen Tagen in die Kritik, da einige Banken ihre Kunden bei neuen Bankomatkarten mit NFC zwangsbeglücken – egal ob man die Funktion nutzen möchte oder nicht. Kunden sollten sich bewusst für oder gegen das Service entscheiden können, fordern Arbeiterkammer und der Verein für Konsumenteninformation. (Markus Sulzbacher, derStandard.at, 7.1.2014)

Link

Wikipedia über Near Field Communication

  • Der WebStandard konnte mit der App das Quick-Guthaben auslesen.
    foto: webstandard

    Der WebStandard konnte mit der App das Quick-Guthaben auslesen.

  • Auch Datum, Uhrzeit und Höhe von Transaktionen mit der Karte.
    foto: webstandard

    Auch Datum, Uhrzeit und Höhe von Transaktionen mit der Karte.

Share if you care.