ec-Karten per RFID auslesen
Das Wort »RFID« jagt sicher einigen Menschen einen kalten Schauer den Rücken hinunter. Sie denken dabei, an den neuen Personalausweis, die Krankenkarte oder zum Teil an die Karte an ihrer Universität und befürchten, dass diese von der Ferne ausgelesen werden kann.¹ Zumindest bei letzteren kann es dabei um »richtiges« Geld gehen. Denn zumindest hier in Thüringen ist auf vielen der THOSKA-Karten ein Geldbetrag zum Bezahlen in der Mensa gespeichert. Die ec-Karten haben meist noch viel mehr Geld verfügbar. Hier meldete Heise und die Welt, dass die Sparkassen alle ec-Karten bis 2015 auf kontaktlose Technik umstellen wollen. Ab August 2012 sollten die Kunden Kleinbeträge bis 20 Euro per ec-Karte kontaktlos zahlen können. Doch wie ist es um die Sicherheit der Karte bestellt? Sollte der Besitzer einen Aluhut tragen oder die Karte in eine Aluhülle stecken?
Der untenstehende Screenshot sagt alles:
Dies ist eine kleine App auf einem Nexus. Vielen Dank an Christian Kahlo, der die zusammengebastelt hat. Die Anwendung liest die Karten »im Vorbeigehen« aus und zeigt die verfügbaren Informationen an. Was ist dort zu sehen?
Ganz oben steht die ISO-Tag-ID. Das ist eine pro Karte eindeutige Nummer. Das heißt, damit kann ein Angreifer eine ec-Karte gegebenenfalls immer wieder erkennen. Gerade der viel gescholtene nPA macht das eindeutig besser. Dort wird die Tag-ID zufällig ausgelost. Das heißt, der Besitzer des Ausweises ist über das Merkmal eben nicht zu erkennen. Für den Besitzer einer solchen ec-Karte sieht es ganz anders aus. Selbst wenn die ec-Karte zufällige Tag-IDs verwenden würde, so wird nach dem derzeitigen Stand immernoch eine eindeutige Seriennummer ausgegeben.
Die anderen Angaben sind aus meiner Sicht recht selbsterklärend. Die Kartennummer, Gültigkeit etc. finden sich auch auf der Karte. Der Ladebetrag ist mit Sicherheit ein Feld, was einen technisch ausgestatteten Räuber interessieren könnte. Auf die Art muss er nicht mühsam dutzende von Geldbörsen klauen, sondern kann sich um die lukrativen Fälle kümmern. 
Ich habe das Gefühl, dass bei der Karte die Kunden zu Recht einen Schauer haben müssen. Der Digital Courage e.V. sollte seine RFID-Schutzhülle schnell wieder ins Programm nehmen. Die Sparkasse bedient immerhin 45 Millionen potenzielle Kunden. 
PS: Der Datenkanal hat den neuen Personalausweis in der 14. Sendung ein wenig beleuchtet.
¹: Wobei Ferne bei den Karten wenige Zentimeter heißt. (Auf einen Hinweis von @stephanjauch ergänzt)
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
schneeschmelze am :
Jens Kubieziel am :
schneeschmelze am :
Jens Kubieziel am :
Stephan Jauch am :
Um es mal in reale Werte auszudrücken: mit dem Nexus S kann ich die Sparkassen-Karte nur auslesen, wenn ich den NFC-Chip auf unter 1 cm an die Karte anlege.
Also mobil NFC-Tags aus echter Entfernung auslesen funktioniert auch nur mit entsprechend großer Antenne und Energieversorgung, um ein ausreichend starkes Feld zu erzeugen.
Caleb am :
Jens Kubieziel am :
Thomas Skora am :
Gil-galad am :
Sparkassenverbands-EDV-Spezialexperte: “iTan ist sicher!”
Ich: “Man-in-the-Middle-Attack?”
Sparkassenverbands-EDV-Spezialexperte:
“Wie abstrus!”
(2004)
sven am :
Lukrativ ist also wer viel Geld auf die Geldkarte gebucht hat. Und wo bucht der Angreifer das dann hin?
Hast du ein Konzept was man mit dieser Information für Schindluder treiben kann? Ich sehe da zumindest keinen Angriff wie man im großen Stil Geldkartenguthaben abziehen kann, das Geld muss ja immer auf eine Händlerkarte und ist damit verfolgbar.
florian am :
Einer der Werbeslogans: ‘Zahlen Sie schneller als ihr Schatten’
Inklusive automatischer Aufbuchung vom Konto, wenn die Karte leer ist!
sven am :
Um sich mit irgendwelchen Lesegeräten auszurüsten die Kartenkontostände aus der Entfernung lesen können muss die Beute aber doch etwas üppiger ausfallen, oder?
Hanno am :
Aber jetzt weiß ich ja zumindest dass wenn ich bei der Sparkasse geblieben wär ich den selben Blödsinn erhalten hätte...
Rolf am :
Dirk am :
Allerdings haben sie mir auch mitgeteilt, dass, wenn der RFID-Chip mal kaputt gehen sollte, die Karte so weiterbenutzt werden kann wie die bisherige Karte ohne diesen Chip.
Auszahlungen am Geldautomaten und Auszüge drucken sind somit weiterhin möglich.
florian am :
- Umstellung auf iTAN, danach kam der Brief dazu an. Ergebnis: Konto gesperrt und ich musste die 100 tans manuell durchnummerieren, auf der noch gültigen Liste
- Ärgerlich war das vor allem für Leute die gerade im Ausland waren und nur 5 ihrer Tans für den Fall der Fälle mitgenommen hatten, weil die ganze Liste soll man ja nicht mitnehmen
- jetzt zwangsweise Umstellung auf mTAN oder Zusatzgerät, das 10 Euro kostet
- ab der 5. mTan kostet es pro SMS-Tan irgendwas um 19 Cent für die SMS - ich hab grad 10 Minuten lang verucht rauszubekommen wie der Preis ist - sie verstecken das hervorragend auf der Webseite.
Und das waren nur ein paar der Klopper. Das keiner von denen Ahnung hat, wie HBCI funktioniert und der Berater 5 mal die Experten anrufen musste während ich mit ihm sprach, um zu erfragen ob HBCI und Webbasiertes Onlinebanking auch parallel nutzbar seien, z.b., ist da schon das geringste.
Hamburg am :
Was ist von der Idee zu halten die Karten einfach an einer Stell zu lochen, um die Antenne zu durchtrennen?
Jens Kubieziel am :
Paul am :
hab das hier testweise mal mit rfid Karten gemacht... hatte sie halt eingeschnitten. Lochen sollte allerdings für die allgemeine Kartenstabilität besser sein.
Engywuck am :
[*] Hat mir jedenfalls vor Jahren ein Bankmitarbeiter so klargelegt, als wenige Monate vor Ablauf der Karte sich ein Riss entwickelt hatte “Also Sie können gerne das Risiko eingehen, aber sonst tauschen wir das um und sie haben halt ne Woche keine Karte...”. Ist ja auch irgendwie logisch: absichtliche Veränderung am Material und so. Aber IANAL etc
Digitalcourage am :
https://shop.foebud.org/thema/stoprfid/rfid-nfc-myfare-schutzhuelle-aus-metall-folienausfuehrung.html
Marcus am :
Wird das Geld direkt vom Konto abgebucht? Oder muss man da aktiv ein Guthaben aufladen? Weil dann wären ja alle Probleme gelöst, indem man das einfach nicht tut und die EC-Karte einfach nur als EC-Karte benutzt.
Dirk am :
DU musst dazu am Geldautomat einen bestimmten Betrag auf den Chip buchen. Ich hab das mal mit einem BEtrag von 1 Euro gemacht. Der wird dann vom Konto abgebucht! und auf den Chip gutgeschrieben. An den entsprechenden Kassen wird dann Geld von dem Chip abgebucht, wenn du bezahlst.
Mich stört daran so Einiges:
1. Ich glaube nicht, dass es bei diesem Einsatzzweck bleibt, sondern dass das nur der Türöffner ist um eine Akzeptanz zu erreichen und um Fakten zu schaffen.
2. Die Absicht ist wohl unter anderem, eine Menge Personal und Zeit einzusparen. Kassiererinnen, BusfahrerInnen brauchen nicht mehr zu kassieren. Bargeld verschwindet immer mehr aus dem Alltag. Davon profitieren die Banken.
3. Bei speziellen Girokonto-Konstruktionen gibt es (geringe0,5%) Guthabenzinsen. Wenn ich einen Betrag auf die Geldkarte buche, wird der nicht mehr verzinst, obwohl die Bank weiter über ihn verfügen kann und Zinsen kassiert, solange das Geld nicht ausgegeben wird. Der Punkt geht wieder an die Bank.
Aber wie gesagt. Bisher dient der RFID-Chip nur zur Aufladung von Geldbeträgen (vorläufig bis 200 € glaube ich) am Geldautomaten und zur kontaktlosen Abbuchung vom Chip.
Henryk Plötz am :
Die VRS-Tickets haben damals einfach den Geldkarten-Chip mit einem Kontaktlosinterface versehen, und Zugriff auf die Fahrschein-Funktion über dieses (nicht aber auf die Geldkarte-Funktion, soweit ich mich erinnern kann) ermöglicht. Darüber frei auszulesen war für Schülertickets mindestens Name des Schülers, Name der Schule, sowie Geburtsdatum. Beim Jobticket trat an Stelle des Schulnamens eine Nummer von der ich annehme dass sie den Arbeitgeber identifiziert oder so. Das war Mai 2008. (In meinem Fundus befindet sich auch noch eine “Bremer Karte” von 2003 die ebenfalls eine Geldkarte als ÖPNV-Fahrschein war, aber damals noch ohne Kontaktlosinterface.)
Ich hab länger nicht nachgeguckt, aber soweit ich weiss wurden die VRS-Tickets mittlerweile gegen welche basierend auf der VDV-Kernapplikation ausgetauscht, im Zuge von http://www.eticket-deutschland.de, und die sollten das Problem nicht mehr haben.
Thilo-Alexander Ginkel am :
https://blog.ginkel.com/2013/03/nfc-security-beim-eticket-rhein-main/
Lelala am :
Markus Kohler am :
Alfred am :
Das auslesen per App macht mir sorgen. Dafür verwende ich jetzt RFID Schutzhüllen.