25C3: NFC-Handy-Anwendungen anfällig für Hackerangriffe

Die vielfach als universelles Verknüpfungsmittel zwischen Mobiltelefon, anderen Geräten und Zahlungsanwendungen gepriesene Übertragungstechnik Near Field Communication (NFC) lässt sich recht einfach missbrauchen. Zum einen seien die NFC-Implementierungen in den zwei Handys von Nokia, die den als Chipkarten-Ersatz gehandelten und von der ISO genormten Standard bereits einsetzen, für gängige Hackerangriffe wie das Abhören der Datenübertragung mit einem Sniffer oder einer Man-in-the-Middle-Attacke anfällig, erläuterte der Darmstädter Sicherheitsforscher Collin Mulliner auf dem 25. Chaos Communication Congress (25C3) in Berlin. Dabei könne es zur Modifikation, Neueinfügung oder zum Ungültigmachen von Informationen kommen. Zum anderen würden aber auch die bisherigen konkreten Anwendungen für NFC-Etiketten etwa zum Kauf von Tickets für den Öffentlichen Personennahverkehr Sicherheitslücken aufweisen.

Geht es nach den Befürwortern der NFC-Technik, soll diese bald in schier jedes Mobiltelefon Einzug halten. Sie soll den Austausch von Informationen zwischen zwei nahe aneinander gehaltene Geräten ermöglichen und als Zugriffsschlüssel auf Inhalte und Services wie bargeldlose Zahlungen oder Ticketing dienen. NFC funkt auf der Frequenz von 13,56 MHz über Entfernungen weniger Zentimeter und unterstützt Übertragungsraten bis zu 424 kBit/s. Im Prinzip funktioniert NFC ähnlich wie RFID; in konkreten Anwendungen kommen daher oft die gleichen "Smart Tags" wie bei der bereits weiter verbreiten Erkennungstechnik per Funk zum Einsatz. Konkret handelt es sich laut Mulliner meistens um die klassischen Mifare-Etiketten, deren Sicherheitsarchitektur als überaus brüchig gilt.

Das Nutzungskonzept für Dienste ist vergleichbar mit dem fürs "Mobile Tagging" ebenfalls bereits verwendeten 2D-Barcodes, die Hacker bereits im vergangenen Jahr als "Spielfelder" ausmachten. Man "berührt" einen NFC-Tag mit seinem Mobiltelefon, das die auf dem winzigen Chip gespeicherten Informationen ausliest und eine Handlung auslöst. So kann etwa eine Webseite geladen, ein Telefongespräch initiiert, eine SMS versendet, ein Kontakt gespeichert oder eine beliebige Applikation gestartet werden. Verschlüsselt wird der drahtlose Datenaustausch in Form des NFC Data Exchange Format (NDEF) nicht. Eine Zusatzfunktion hört auf die Bezeichnung "SmartPoster". Dahinter verbirgt sich ein Uniform Resource Identifier (URI) etwa in Form einer Webadresse und einem zugehörigen Beschreibungsfeld. Empfohlen wird damit die Ausführung oder das Speichern einer Datei, der Gang ins Internet oder einer anderen Standardfunktion des Handys.

Beim zunächst allein verfügbaren Nokia 6131 NFC-Mobiltelefon fand Mulliner diverse Ansätze zum Ausnutzen der neuen Handlungsmöglichkeiten. So habe man dem Nutzer etwa eine interessante URL vorgaukeln können, während im eigentlichen URI eine ganz andere, möglicherweise mit Schadinhalten befrachtete Webadresse gespeichert war. Angesichts eines geänderten Titelfelds für den Link müsse der Mobilsurfer in so einem Fall schon sehr genau hinschauen und etwas scrollen, um die tatsächlich angesteuerte URL zu erkennen und den Vorgang zu stoppen. Mit einem einfachen CGI-Skript sei es ferner möglich gewesen, im Man-of-the-Middle-Verfahren Logindaten zu entwenden, andere Phishing-Angriffe auszuführen oder Schadcode einzufügen.

Auch ein klassisches URL-Spoofing führte Mulliner durch, bei dem ein Angreifer Domains registriert, die der nachzuahmenden täuschend ähnlich sehen. Zudem entwarf er Szenarien, in denen anstelle des Besuchs einer unerwünschten Webseite nach ähnlichem Muster etwa statt einer Touristeninformation eine 0900er-Nummer angerufen oder eine teure SMS-Bestellung ausgelöst wird. All diese Verwundbarkeiten meldete der Sicherheitsexperte an Nokia, wo man versprochen habe, die "Bugs" rasch auszumerzen.

Bei dem seit November verfügbaren 6212 Classic NFC-Gerät der Finnen seien die meisten der beschriebenen Schwachstellen tatsächlich nicht mehr auszunutzen, das Spoofing funktioniere aber weiterhin. Zum Beweis schrieb Mulliner einen "NDEF- Wurm", mit dem eine Java-Applikation auf das Handy geladen wird und sich beim Lesen eines beschreibbaren NFC-Tags weiter ausbreite. Weiter führte der Wissenschaftler diverse Fuzzing-Test zum Prüfen der Robustheit des NFC-Datenformats durch. Mit einem kleinen Lesegerät und spezieller Software gelang es ihm so nach eigenen Angaben, durch die Eingabe zu langer Datenfelder oder Telefonnummern das verwendete Symbian-Betriebssystem zum Absturz zu bringen. Nach dem vierten Mal habe sich das Handy jeweils ausgeschaltet. Wirklich interessant dürften diese Angriffsflächen aber erst bei NFC-Smartphones mit leistungsfähigeren Betriebssystemen sein. Diverse Lese-, Speicher und Testtools rund um die untersuchte Technik, die teils auch einfach auf dem eigenen NFC- Handy zu installieren sind, hat der Forscher auf seiner Webseite veröffentlicht.

Nicht zuletzt nahm Mulliner Zahlungsanwendungen etwa bei den "Wiener Linien", der Österreichischen Bahn, dem Snackautomaten Selecta in der Hauptstadt der Alpenrepublik oder im besonders NFC-begeisterten Rhein-Main-Verkehrsverbund (RMV) unter die Lupe. Als Schwachstelle hätten sich dabei vor allem die Tags erwiesen, die nicht sicher konfiguriert und somit leicht austauschbar oder mit einem RFID- Zapper zerstörbar seien. Teils seien die Etiketten auch zu überschreiben. Die veränderten Tags könnten dann Handys wiederum auf unerwünschte Seiten lenken, sie zum Absturz bringen oder Falschinformationen etwa über die Einsteigestation enthalten. Durch die so durchführbaren Angriffe auf das System "im großen Stil" sei es Hackern möglich, nicht nur die Aufmerksamkeit auf die Sicherheitsprobleme bei NFC zu lenken, sondern die Anwendungen eventuell auch insgesamt zu diskreditieren.

Zum 25C3 siehe auch:

• Schwere Sicherheitslücken beim Schnurlos-Telefonieren mit DECT
• Zuverlässige Exploits für Cisco-Router
• Kryptografische Krücken für das E-Voting?
• Linux läuft auf Nintendos Wii

• Mit dem 3D-Drucker zurück zur Heimindustrie
• "Denial of Service"-Schwachstellen in TCP näher beleuchtet
• Hacker haben großen Zulauf
• Brüche in der Sicherheitsarchitektur des iPhone
• CCC will Beschlagnahmen von Festplatten reduzieren

• Hackerparagraphen sorgen weiter für Verunsicherung
• Pauschale Entschädigung für Datenpannen gefordert
• Krypto-Aktivist John Gilmore liebäugelt mit der "transparenten Gesellschaft"
• Live-Videostreams aus dem Berliner Congress Center
• Europäischer Hackerkongress hat "nichts zu verbergen"

(Stefan Krempl) (as)