MasterCard PayPass und Co. – NFC in Kredit- und Bankkarten unsicher?

Nachdem ich neulich darüber schrieb, dass die Kalxia Prepaidkrediktarte nun mit MasterCard PayPass und somit mit einem NFC-Chip ausgestattet wird, da kamen in den Kommentaren zu diesem Thema nicht nur positive Stimmen auf. Mitte 2012 hatte report MÜNCHEN unter dem Titel „Lauschangriff auf neue Kreditkarten – Einfacher Datenklau per Funk“ eine Sendung ausgestrahlt, die wohl einige Nutzer verunsichert hat. In der Sendung wird gezeigt, wie mit einem NFC-fähigen Android-Smartphone ganz einfach „per App“ Daten aus kontaktlosen Karten ausgelesen werden können. Es wird der Eindruck vermittelt, dies geschehe im Vorbeigehen.

Das in der Reportage genutzt Programm steht nicht mehr kompiliert bei Google Play zum Download bereit, der Entwickler hat aber den Quellcode veröffentlicht. Unser Leser Peter hat mir daraus mal fix exakt die gleiche APK gebastelt, welche in dem TV-Beitrag zum Einsatz kommt, denn mich hat natürlich interessiert, was ich denn auslesen kann und was nicht. Das Ergebnis war für mich etwas ernüchternd, denn ich dachte, eventuell komme ich ja wirklich an Infos, mit denen man etwas anfangen kann. Dem scheint aber nicht so.

Die von mir getestete Sparkassen-Karte mit NFC basiert auf dem System girogo. Dieser Karte konnte ich die echte Kartennummer entlocken, sowie das Ablaufdatum und den Betrag, der sich auf dem Chip befindet. Auch eine Bankleitzahl und Kontonummer wurden angezeigt, dies ist aber nicht das Konto zur Karte, sondern wohl nur ein Verrechnungskonto der Bank für das Guthaben. Immerhin waren das ein paar mehr Infos, als die Sparkassen-App S-Kontaktlos aus der Karte rausholt.

[appbox googleplay de.dsvgruppe.android.nfc]

Die Kalixa-Karte war noch verschlossener gegenüber der App, die laut dem TV-Beitrag (wir erinnern uns) Kriminellen Tür und Tor öffnet. Der Kalixa-Karte mit MasterCard PayPass konnte ich so lediglich die NFC ID und die Meldung „Kartentyp unbekannt“ entlocken.

Ich kann nun natürlich nicht beurteilen, ob es noch weitere „böse“ NFC-Apps gibt, die viel mehr auslesen können, als das vom Bayrischen Rundfunk damals gesagt wurde. Fakt ist jedoch, dass per NFC niemals der dreistellige Sicherheitscode einer Kreditkarte ausgelesen werden kann. Dieser ist für alle Transaktionen nötig, die ohne Kartenchip-Lesegerät erfolgen. Sollte ein Händler diesen Sicherheitscode nicht abfrage, dann haftet der Händler für einen Schade und nicht der Kunde.

Zudem kann ich beim besten Willen nicht nachstellen, dass die Karten auf mehrere Zentimeter Abstand bereits reagieren, ich musste immer mindestens auf einen halben Zentimeter an das Gerät heran. Testgerät war in meinem Fall ein Motorola RAZR i mit NFC.

Wer es selbst einmal ausprobieren möchte, der kann sich hier die net.skora.eccardinfos.apk herunterladen. Die Benutzung erfolgt auf eigene Gefahr.