Publikation

Security Issues in Mobile NFC Devices

Outline:

M. Roland - Security Issues in Mobile NFC Devices - Phd Thesis, Institut für Computational Perception (CP), Johannes Kepler Universität Linz, Österreich, 2013, pp. 217

Abstract:

In den letzten Jahren kommen immer mehr Smartphones mit Near Field Communication (NFC) Funktionalität auf den Markt. Die Verfügbarkeit von NFC-Smartphones hat zu einem steigenden Interesse an der NFC-Technologie und deren Anwendungen durch Gerätehersteller, Dienstanbieter, Entwickler und Endnutzer geführt. Dennoch deuten häufige Medienberichte über Sicherheits- und Datenschutzprobleme bei elektronischen Reisepässen, kontaktlosen Kreditkarten, NFC-fähigen Mobiltelefonen und anderen Kontaktlostechnologien darauf hin, dass NFC eine potenziell unsichere Technologie ist. Während es sich vorwiegend um Schwachstellen in bestimmten Anwendungen und Produkten handelt, steigern die Medienberichte die Angst, dass die NFC-Technologie als Ganzes gefährlich ist, unsere Privatsphäre bedroht und zum Identitätsdiebstahl und Betrug genutzt werden kann. Um ihre eigenen Produkte und Dienstleistungen zu verteidigen, positionieren sich Hersteller und Dienstanbieter oft damit, dass ihre eigenen Produkte und Dienste selbstverständlich ausreichend geschützt sind und sie nicht von den Problemen betroffen sind. Das Ziel dieser Arbeit ist es, den aktuellen Stand der Sicherheit von NFC zu beurteilen, neue Angriffsszenarien aufzudecken und Lösungskonzepte für offene Probleme zu erarbeiten. Auf Basis von Beispielanwendungen werden anwendungsspezifische Sicherheitsaspekte von NFC extrahiert. Die aktuellen Sicherheitsarchitekturen von NFC-Mobiltelefonen werden in Hinblick auf die identifizierten Sicherheitsaspekte untersucht. Auf Grund der ausgewählten Beispiele konzentriert sich diese Untersuchung auf die Interaktion mit NFC-Tags und die Emulation kontaktloser Chipkarten. Für beide Teilaspekte werden Angriffsszenarien aufgezeigt, die trotz bestehender Sicherheitskonzepte möglich sind. In Bezug auf die Interaktion mit NFC-Tags wird ein neues Angriffsszenario entwickelt, das die Veränderung von, durch eine digitale Signatur, geschützten Daten ermöglicht. Zudem werden weitere offene Probleme in der Signatur-Spezifikation des NFC Forums identifiziert. In Bezug auf die Emulation kontaktloser Chipkarten wird das Handy selbst als eine bedeutende, aber bisher unberücksichtigte Schwachstelle identifiziert. Insbesondere wird das bekannte Konzept der Relay-Attacken auf die Mobiltelefon-Plattform übertragen. Relay-Attacken werden deutlich vereinfacht weil das Mobiltelefon das Ausführen von Programmcode und die Kommunikation über drahtlose Netzwerke ermöglicht. Diese Annahme wurde mit Hilfe eines Prototyps verifiziert. Es wurden Ansätze zur Lösung dieser Probleme skizziert und in Hinblick auf deren Vor- und Nachteile untersucht.