Kann ich meine Kreditkarte mit dem NFC-Chip des Nexus S und Galaxy Nexus „klonen“? Wenn nein, warum nicht?

15

Kann eine Android-App die NFC-Daten meiner Kreditkarte lesen, speichern und diese Daten dann an eine kontaktlose Zahlstelle (PayPass) senden? So würde ich meinen Nexus benutzen, um meinen Kaffee bequem zu bezahlen.

Wenn ja, gibt es dafür eine App? Wenn nein, warum nicht?

William C
quelle
2
Interessante Frage .. :)
Android Quesito
Ich habe nie an diese Frage gedacht. Was passiert, wenn beispielsweise die Daten, die die NFC-Daten "darstellen", dupliziert werden, oder ist dies an die Geräte-ID gebunden, um einen Verschlüsselungsschlüssel zu generieren? (Hab keine Ahnung wie viele meiner Mobilteile kein eingebautes NFC haben), trotzdem ist das eine gute Frage :) +1 von mir :)
t0mm13b

Antworten:

16

Nein, kannst du nicht. Um es zu vereinfachen - drahtlose Zahlungen (NFC, RFID-Chips auf Karten usw.) sind keine einfache Transaktion mit der Angabe Ihrer Kartennummer (da dies unglaublich unsicher wäre), sondern eher eine Verschlüsselung dieses Datenblocks mit deinen geheimen Nummern und gib es zurück.

Der zu verschlüsselnde Datenblock ändert sich für jede Transaktion, und es gibt (vermutlich) keine Möglichkeit, das Gerät dazu zu bringen, seine Geheimnummern auszuspucken.

Sie können Ihre Karten also nicht EINFACH auf Ihr Telefon klonen (wenn Sie könnten, könnten es auch andere Personen, die in Ihrer Nähe waren).

Das soll nicht heißen, dass dies überhaupt nicht möglich ist (wenn Sie vielleicht einen Fehler in der Funktionsweise der Krypto gefunden haben, können Sie vielleicht die Geheimnummern eines Geräts ableiten), aber Sie werden es nicht kaufen eine App für.

Michael Kohne
quelle
1
Nur eine Randnotiz: Bis 2008 (ish, in Großbritannien) waren Transaktionen vom Typ "Wie lautet Ihre Kartennummer?" Und es war möglich, Chipkarten zu klonen. Die Klone funktionierten nur, wenn das Kassenterminal die Bank nicht kontaktierte, um die Karte zu authentifizieren.
Erdnuss
Ich bin nicht ganz auf dem neuesten Stand, aber das letzte Mal (letztes Jahr irgendwann), als ich hörte, gab es immer noch Probleme mit Chip-and-Pin aufgrund des spezifizierten Fallback-Verhaltens der Terminals - wenn sie nicht mit dem Chip sprechen können, haben sie Probleme greifen auf ältere Verhaltensweisen zurück, die einige Angreifer möglicherweise ausgenutzt haben. Das ist leider ein ziemlich übler Fehler auf Spezifikationsebene.
Michael Kohne
Ja, wenn der Chip beschädigt ist, wird das Terminal immer noch nach einer Transaktion mit Magnetstreifen fragen, selbst in Großbritannien, wo wir sie seit Jahren nicht mehr hatten. Es könnte vollständig beseitigt werden, aber die Banken scheinen sich nicht um die geringen Betrugsfälle zu kümmern, die dies verursachen könnte.
Erdnuss
Aber was ist mit normalen RFID / NFC-Karten, wie Schlüssel für Türen? Können sie vom Telefon kopiert und verwendet werden?
Midhat
@Midhat - Wenn es für die Sicherheit gedacht ist, können Sie es nicht einfach klonen (es sei denn, der Anbieter war ein kompletter Haufen Idioten). Normalerweise handelt es sich bei Geräten, die für Sicherheitszwecke verwendet werden, NICHT nur um "Hier ist meine Nummer". Sie verfügen über einige interne Informationen. Wenn der Leser danach fragt, führen sie eine Aktion durch und geben eine Antwort zurück, um genau dieses Problem zu vermeiden. Das heißt nicht, dass es 100% narrensicher ist, aber Sie werden es nicht einfach in die Nähe Ihres Telefons setzen und es klonen.
Michael Kohne
6

Die NFC-Hardware des Nexus S und des Galaxy Nexus ist technisch in der Lage, ein NFC-Tag wie eine kontaktlose Kreditkarte zu emulieren. Genau so funktioniert Google Wallet . Das Klonen einer vorhandenen Karte ist jedoch aufgrund der Funktionsweise der Authentifizierung zwischen Karte und Zahlungsterminal (basierend auf geheimen kryptografischen Schlüsseln) nicht möglich. Der einfachste Weg, um das zu erreichen, was Sie möchten, ist die Installation von Google Wallet auf dem Telefon (es ist auf dem Nexus S 4G vorinstalliert, es gibt verschiedene Tutorials im Internet für Nexus S und Galaxy Nexus) und das Aufladen von Geld Mit einer Prepaid-Karte von Google können Sie einen Kaffee trinken.

NFC-Typ
quelle
1
Gibt es Alternativen für Leute außerhalb der USA? Google Wallet ist nicht verfügbar und Android Pay funktioniert nicht, wenn es gerootet ist und so weiter.
Kiradotee
4

Während die beiden anderen Antworten im Grunde genommen richtig sind (Sie können keine vollständigen Klone der aktuellen kontaktlosen Kreditkarten erstellen), gibt es Angriffsszenarien, die das Erstellen begrenzter Klone von EMV-basierten kontaktlosen Kreditkarten ermöglichen. In diesem Artikel wird beispielsweise eine Methode zum Klonen von MasterCard PayPass-Karten beschrieben, bei der eine Sicherheitsanfälligkeit ausgenutzt wird, die auf die Abwärtskompatibilität von PayPass-Karten mit einem (kryptografisch) schwachen Protokoll und die unzureichende Überprüfung von Transaktionen auf Seiten des Kartenherausgebers zurückzuführen ist. In ähnlicher Weise wird in diesem Dokument beschrieben, wie bestimmte Schwächen von Zahlungsterminals ausgenutzt werden, um begrenzte Kopien von EMV-basierten Kreditkarten zu erstellen.

In Kombination mit der neuen Host-basierten Kartenemulationsfunktion (HCE) von Android 4.4 (oder der Host-basierten Kartenemulationsfunktion von CyanogenMod 9.1 und höher) können Sie eine vorab gespielte Kreditkarte mit Ihrem Telefon emulieren. Sie müssen jedoch bedenken, dass beide Klonmethoden Angriffsszenarien sind und zu schwerwiegenden rechtlichen Problemen führen können ;-) Außerdem wird Ihre ursprüngliche Kreditkarte durch den ersten Angriff schnell unbrauchbar, da der Transaktionszähler leer ist.

Michael Roland
quelle
-1

Ja, Sie können NFC-Proxy auf 2 Geräten eines NFC-fähigen Telefons verwenden - eines als Proxy und eines als Server. Diese Anwendung ist / war hauptsächlich für Sicherheitsforscher gedacht, um Nahfeldanwendungen zu prüfen und zu testen, die RFID, MIFARE usw. als Open-Source-Projekt verwenden. Ich sehe, dass einige Fortschritte von der Community erzielt wurden und die Entwickler das Projekt warten und das Wiki aktualisieren um mit den aktuellen technologischen oder anwendungstechnischen Trends Schritt zu halten. Ich spiele immer noch damit herum und nutze meine Nexus, um das Potenzial, die Zuverlässigkeit und die Schwachstellen in alltäglichen Anwendungen wie Hotelkarten auszuloten oder die Automatisierung auszulösen.

Wenn Sie jedoch planen, Ihre Debit- / Kreditkarte, Treue- / Mitgliedschafts- oder sogar EZ-Pass-Karten (für Maut- / U-Bahn- / Buskarten) auf Ihrem Nexus S zu verwenden, können Sie Anwendungen wie Google Wallet, Square Wallet und Isis (um nur einige zu nennen) verwenden wenige) sollten ausreichen. Ich benutze Paypal, Google Wallet und Square Wallet, um Zahlungen zu tätigen und zu erhalten. Bei richtiger Konfiguration, Verknüpfung und Überprüfung können diese Anwendungen den Inhalt Ihrer Brieftasche ersetzen. Es ist nervös, modern und kraftvoll, aber mit großer Kraft geht eine große Verantwortung einher, da diese ausgefallenen Dinge eine Schwachstelle oder eine schwache Kette für Ihre Sicherheit und Privatsphäre darstellen.

Lass es mich wissen, wenn auch du Interesse hast, dein nexus S als Spielset zu verwenden. Es ist so ein interessantes Stück Hardware zwischen NFC, OBD und SDR. Mit diesem alten Gerät gibt es immer Neues zu entdecken.

harayz
quelle
2
Können Sie uns erklären, wie Sie mit dieser App die Anforderungen von OP erfüllen können? Es wird davon abgeraten, nur eine App ohne Schritte bereitzustellen, da Benutzer möglicherweise nicht wissen, wie sie verwendet werden sollen (und ihr Gerät möglicherweise beschädigen). Ich habe auch gelesen, dass Sie CyanogenMod verwenden müssen, damit dies funktioniert.
Andrew T.
nicht mehr - du kannst jetzt andere roms benutzen.
Harayz