24.09.2012
Sicherheit
Manipulierte NFC-Fahrkarte erlaubt Freifahrten
Autor: Thorsten Eggeling
Fahrkarten mit NFC-Chips bergen eine Sicherheitslücke. Offenbar können die bereits entwerteten Fahrkarten mit Hilfe einer App so präpariert werden, dass Nutzer von Android-Smartphones damit kostenlos fahren können.
Die Sicherheitsexperten Corey Benninger und Max Sobell von der Intrepidus Group berichteten auf der Sicherheitskonferenz EU Sec West in Amsterdam von einer Sicherheitslücke in den NFC-Chips. Anfällig sind Karten mit Mifare Ultralight Chip von NXP. Das System birgt offenbar eine Lücke, über die Nutzer kostenlos mit öffentlichen Verkehrsmitteln fahren können.
Der Datenübertragungsstandard Near Field Communication (NFC) ermöglicht den Kauf von Fahrkarten, indem der Nutzer seine NFC-Karte in geringem Abstand vor ein Lesegerät hält. Die Spezialisten entwickelten dafür die eigens entwickelte Analyse-App namens Ultra Card Tester. Wer die App auf seinem NFC-fähigen Android-Smartphone ab Version 2.3.3 installiert, kann darüber die Daten auslesen, die auf der virtuellen Fahrkarte gespeichert sind. Nach der eher zufälligen Entdeckung dieser Lücke erweiterten sie die App um die Fähigkeit, die Chips auch zu beschreiben und nannten diese "Ultra Reset". In einem Video führen Benninger und Sobell vor, wie sie eine bereits entwertete Karte zurücksetzen und diese dann neu entwerten konnten.
Obwohl die Verkehrsbetriebe San Francisco Municipal Railway und Port Authority Trans-Hudson bereits seit Dezember 2011 über die Lücke informiert sind, befinden sich die anfälligen NFC-Fahrkarten weiter im Umlauf.
Die gleichen Karten werden auch für den Zugang in Hotels oder Büros eingesetzt. Die Sicherheitsexperten wollten laut einer Ankündigung für den Vortrag ursprünglich vorführen, wie Smartphones dazu genutzt werden können, den Zugang zu diesen Örtlichkeiten einfacher zu machen.
In Deutschland sind NFC-fähige Smartphones noch wenig verbreitet. Aber auch hier werden mittelfristig die unterschiedlichsten Dienste NFC nutzen. Nach den bisherigen Erfahrungen sollten die Anbieter jedoch Karten und Einsatzgebiete sorgfältig prüfen, um Missbrauch auszuschließen.
Drei Modelle
Huawei bringt die Pura-70-Serie nach Deutschland
Bei Huawei löst die Pura-Serie die P-Modelle in der Smartphone-Oberklasse ab. Nach dem Debüt in China hat der Hersteller jetzt auch die Preise und das Startdatum für den deutschen Markt genannt.
>>
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Autohersteller
Erstes Smartphone von Polestar
Autohersteller Polestar hat in China sein erstes Smartphone vorgestellt, das vor allem gut mit den Fahrzeugen des Herstellers zusammenarbeiten soll.
>>