Hacking von RFID-Bezahlkarten über Android App

Originalartikel von Veo Zhang, Mobile Threats Analyst

Kürzlich fanden die Trend Micro-Bedrohungsforscher in Chile eine hochriskante Android-App (ANDROIDOS_STIP.A), die sich über Foren und Blogs ausbreitete. Sie lässt sich dafür einsetzen, um sich in RFID-Transitkarten, die für das Geldaufladen verwendet werden, zu hacken.
Immer häufiger wird heutzutage mit RFID-Karten bezahlt, denn viele Mobilgeräte unterstützen NFC (Near Field Communication), und Banken, Händler oder öffentliche Dienstleister geben Prepaid RFID-Karten an ihre Kunden. Achtung: Die hier dargestellten Muster können nicht aus dem Google Play Store bezogen werden.

Sicherheitsprobleme mit RFID-Karten

Für Angreifer werden RFID-Karten mit zunehmender Verbreitung zum begehrten Ziel. Bei dem neuesten Kartenhacking-Angriff Tarjeta bip! in Chile ging es um MIFARE-basierte Smartcards (Mifare ist die weltweit am häufigsten genutzte kontaktlose Chipkartentechnik http://de.wikipedia.org/wiki/Mifare).


Bild 1. MIFARE-Geräte

Die Analyse des Codes der Android-App zeigte, dass sie auf einem Gerät mit NFC läuft und dabei diese Karten lesen und darauf schreiben kann. Die bösartige App schreibt vordefinierte Daten auf die Karte und erhöht das Guthaben auf der Karte auf 10.000 Pesos (etwa 15 $). Dieser Trick funktioniert allerdings nur auf diesen speziellen Karten, denn er beruht auf dem Format der Karte.

Der Autor des Tools konnte die Informationen umschreiben, ohne die korrekten Authentifizierungsschlüssel zu haben, weil die Karten auf einer älteren Version der MIFARE-Kartenserie aufsetzen (Mifare Classic). Diese ist bekannt für ihre Sicherheitsprobleme. Ein Angreifer kann eine solche Karte in weniger als zehn Sekunden klonen oder ändern. Das Equipment (etwa der Proxmark3) zusammen mit der erforderlichen Unterstützung wird online verkauft.


Bild 2. Proxmark3 zum Verkauf

Mit den erhältlichen Tools knackten die Angreifer die Authentifizierungsschlüssel der Karte. Damit und mit der nativen NFC-Unterstützung in Android und im Gerät ist es einfach, über eine App eine Karte zu klonen und das Guthaben zu erhöhen.


Bild 3. Hersteller und Speicherinhalt einer MIFARE Classic-Karte

Es ist bekannt, dass es auch auf andere Arten von MIFARE-Karten (vor allem MIFARE DESFire und MIFARE Ultralight) Angriffe gegeben hat. Es gibt mindestens drei angreifbare Karten. Dazu gehören eine Sozialversicherungskarte mit Banking-Dienst, die etwas sieben Millionen Nutzer hat, eine Bezahlkarte für Transportmittel und zum Einkaufen sowie eine Dining-Karte.


Bild 4. MIFARE DESFire-basierte Sozialversicherungskarte

Die Dining-Karte nutzt MIFARE Classic, und es zeigte sich, dass das Guthaben auf der Karte manipuliert werden kann. Die beiden anderen Karten nutzen MIFARE DESFire und sind auf Side-Channel-Angriffe empfindlich. Die Kryptosysteme dieser Karten können Informationen preisgeben. Wenn die vorgesehenen Schlüssel nicht zufallsgeneriert sind, so können sie ähnlich wie MIFARE Classic-Karten geklont und manipuliert werden. Noch schlimmer, Guthaben können auch innerhalb eines NFC-fähigen Geräts manipuliert werden.

Fazit

Diese speziellen MIFARE-Modelle wurden vor Jahren durch sichere ersetzt, doch scheinen sich die Ausgeber für billigere Lösungen entschieden zu haben, die allerdings für ihre Kunden ein hohes Risiko bergen.

Deshalb sollten Nutzer in regelmäßigen Abständen ihren Kontostand prüfen und auch, ob eine ihrer Karten angreifbar ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.