Der Funkstandard NFC wird bereits als der Nachfolger von Kredit- und Bankkarte gefeiert. Die Lösung hält in immer mehr Handymodellen Einzug und Unternehmen wie Google, O2 und Apple entwickeln fleißig mobile Bezahlanwendungen wie Wallet, MPass oder Passport. Ganz so sicher wie von den Anbietern und Herstellern propagiert ist NFC allerdings nicht. Das zeigte jetzt ein Hacker auf der Sicherheitskonferenz Blackhat, die seit gestern in Las Vegas, USA, stattfindet.
NFC: Neues Sicherheitsrisiko für Smartphones? | Quelle: Visa
Die neue Technik NFC macht es Kriminellen zurzeit relativ einfach, ein damit ausgerüstetes Mobiltelefon zu übernehmen, wie der Hacker Charlie Miller jetzt auf der Sicherheitskonferenz Blackhat beispielhaft an einem Nokia N9 mit Meego-Betriebssystem und einem Nexus S mit Android-OS bewies. Er brachte dazu ein bereits manipuliertes NFC-Handy einfach in die Nähe der Geräte und der Schadcode wurde automatisch auf das Zielobjekt übertragen. Dort öffnete er, ohne den Nutzer um Erlaubnis zu fragen, präparierte Internetseiten mit weiterer Schadsoftware oder ermöglichte es dem Angreifer sogar, das Handy komplett zu übernehmen.
"NFC erhöht mit Sicherheit das Risiko, dass etwas falsch gehen kann", erklärte Miller dem IT-Magazin Ars Technica in einem Gespräch. "Es öffnet deutlich mehr, als man denkt." Zur Demonstration der Sicherheitslücken verwendete er jedoch noch ein Smartphone mit Android 2.3, das im Dezember 2010 herauskam. Es ist zurzeit zwar noch die am weitesten verbreitete Version des Google-Betriebssystems, wird aber langsam von der aktuelleren Variante Android 4.0 abgelöst. Ob dort schon einige der Schwachstellen behoben wurden, konnte Miller jedoch nicht sagen.
Doch nicht nur die NFC-Funktion an sich hat Software-Fehler, die sich ein Hacker zunutze machen kann, auch darauf aufbauende Funktionen wie das von Google entwickelte Android Beam. Damit können Nutzer per NFC Kontaktinformationen und Multimedia-Inhalte miteinander austauschen. Sie erlaubt aber dem Angreifer auch, das Handy über NFC zu zwingen, eine von ihm bestimmte Seite im Internet zu öffnen, über die weitere Schadsoftware nachgeladen werden kann. Eine Einwilligung des Nutzers ist dafür nicht nötig. Erschwerend kommt hinzu, dass sowohl NFC als auch die Internetverbindung bei Smartphones per Default angeschaltet sind.
Die Kommentarfunktion ist hier leider nur für angemeldete Benutzer freigegeben.
Du bist nicht dabei?Wie nahe muss man einem Smartphone mit NFC denn kommen damit soetwas passieren kann?
Ohne das jetzt gelesen zu haben... NFC=NearFlieldCommunication... Wenn jemand so nah an mein Handy ran kommt, dass er es darüber knacken kann, hat er entweder schon eine von mir aufs M... gekriegt oder ich hab mein Handy verloren. Bei letzterem bin ich selbst Schuld...
Wenn er auf das Samsung extra Android 2.3 installiert hat, dann wirds ja wohl mit 4.0 nicht funktionieren.
Aber ich geb ihm Recht, das NFC das System nicht Sicherer macht.
Die Lumias lassen sich nämlich nicht per NFC kapern!