Android-app stjeler kortinformasjonen din

[Ida Oftebro]

TV-stasjon med skrekkavsløring om neste generasjons bankkort.

Android-app stjeler kortinformasjonen din

[Skinney]

10cm rekkevidde? Holder jo at noen "bumper" borti deg på gata :/

 

Når du først har kort-informasjonen skal det vel ikke være umulig å lage ett duplikat kort du kan misbruke?

[gulpetter]

Løysing? Korthaldar som blokkerer RFID og andre signal.

Og skru no av NFC på mobilen, det er nesten meir utrygt enn blåtann.

[Moskus]

Avhengig av om informasjonen er kryptert eller ikke, vil de da kunne lese av all kortinformasjonen din uten å være i kontakt med kortet.

Alt som er viktigere enn et bleiekort må vel krypteres, det er vel ingen grunn til å la være, uansett hvordan kortet leses?

 

Det har jeg jo tenkt som en forutsetning.

Endret 8. mai 2013 av Moskus

[Misantropen]

Ulv ulv!

[limetime]

Dette er bare tull, iallefall om det er snakk om NFC-appen det er bilde av i artikkelen. Jeg har selv prøvd den, og den fungerer fint til det den skal brukes til, nemlig å lese NFC tagger. Jeg er ingen ekspert på NFC, men jeg vet at den selv på enkle cashlesskort kun kan lese av hva slags kort det er, og noe info om hvor store partisjoner(?) det er på kortet, men ingen ting som kan utnyttes, og jeg har ikke fått den til å lese noe info fra mine bankkort.

 

Fint om noen med mer peiling enn meg korrigerer meg, men det fikk jo meg til å gi dem et klikk, og det var vel målet.

[theck1]

Skrekkavsløring? Seriøst? Like "sjokkerende" ordbruk som VG. Dette er ikke bra TEK. Sleng med litt "døds-" også så får dere ødelagt journalismens integritet fullstendig.

[NoShoes]

Ikke noe ekspert på NFC, men mener å ha lest at dataen er kryptert på denne typer kort, og nøkkelen er lagret i en form for hardware på kortet som en nfc app ikke vil ha tilgang til. mulig jeg tar feil her.

Men uansett, lite nyttig info å hente når jeg har scannet mine egne kort.

[Stian216]

Dette bilr vel meningsløst uten sikkerhetskoden som ikke leses via NFC.

[Perius]

Den er nok ikke så skummel denne appen, men RFID er og kommer nok aldri til å bli sikkert. Er ikke så veldig vanskelig å lage en antenne slik at man får opp mot 50cm+ rekkevidde.

Må jo være en grunn til at VISA og co. nektet Mythbusters å teste sikkerheten rundt RFID.

http://www.eng.tau.ac.il/~yash/kw-usenix06/ <- veldig enkel sak.

[tommyb]

Genialt da. Nå har jo alle hørt om denne appen, så tester vi den på kredittkortene våre og dermed sender vi selv kredittkortinfoen sin tilbake til han som skreiv denne appen, og han bare setter igang kortpressa si og gliser hele veien til minibanken.

[Arildmar]

Hei Ida.

NFC starter å bli med å mer utbredt på telefoner, og som du sier i artikkelen så kan du brukes for å lese av kort. MEN:

 

Kortene i seg selv inneholder en induksjons-magnet som blir aktivert av spenning fra enten betalingsterminalen eller telefonen for deretter å gi fra seg et signal. Dette signalet er som regel en 2 eller 3 faktor sjekk.

Hvis du prøver å lese av ditt Ruter kort, vil du se at du får utløpsdato og kortnummer / IEC nummeret på kortet. (Jeg velger å forklare Ruter da de ikke har noen kryptering på sine kort.)

Når du piper kortet ditt mot en automat, sendes automaten en forespørsel til en server og spør: Er dette kortet gyldig?. Serveren svarer "jepp/nei" og du får et pip tilbake. Pr idag er det ingen mulighet for å klone denne typen kort.

 

Bankkort osv inneholder kryptering, som tilsier at kortet må matche IEC koden som sendes, du må ha en egen personlig kode (og muligens også en tredje faktor som de vurdere) noe som gjør det pr idag umulig å "scanne kortet ditt" for å bruke det i en butikk (noe hadde vært idioti da de fleste butikker er overvåket og du har eksakt dato og tid når du har brukt kortet).

For å handle på nett må du ha CVC koden som er innprentet bak og som er lagret på VISA sine servere, så du får ikke scannet denne. Muligens du klarer å lure lommeboka til en fyr opp, scanne kortet, ta bilde av det med fødsels / person-nummer og cvc koden men da kunne du alikevel tatt hele lommeboka.

 

Nei, dette er å rope ulv ulv.

Hvis du vil ha en innføring i NFC, så send meg en melding.

Ganske kul teknologi som vil bli utbredt om noen år. Bruker den personlig på server-skapet mitt hjemme for å åpne det.

[qualbeen]

Dette er lavnivå Tek (igjen)!

 

App'n "stjeler" ikke noe som helst informasjon – det er en app som er laget for å lese av RFID-tagger.

Det finnes forøvrig flust med app'er som leser av slike tags, og det er jo det som er hele poenget med RFID-støtte i nye smarttelefoner: å kunne lese av tags!

 

At bankene velger å spytte inn vital ukryptert kortinfo i sine plastkort, får isåfall de ta støyten for. Men det tror jeg faktisk ikke de har gjort. Jeg anser det som garantert at informasjonen er kryptert på en eller annen måte, og dermed faller hele grunnlaget for denne artikkelen bort...

 

Har ikke Tek-nettverket noen kompetente redaktører, som kan sile vekk slike “IT-avisen”-nyheter?

[ATWindsor]

Man kan lese av NFC-tags? Som andre spør, where is the news?

 

AtW

[Moskus]

Man kan lese av NFC-tags? Som andre spør, where is the news?

"Hvis du skriver noe på et ark uten å kryptere det, så kan andre se hva du har skrevet!!!"

[Babelfisken]

Pinlig TEK. At VG kommer med slikt sprøyt er ikke stort annet enn forventet men dere burde jo laget artikkelen om hvorfor dette ikke er farlig eller noen nyhet, ikke googleoversette det samme sprøytet som VG "publiserer".

[Ida Oftebro]

Hei

 

Jeg skal prøve å svare etter beste evne her:

 

1: Ingen påstår at NFC-transaksjoner med mobil kan avlyttes på denne måten. Det som kan avleses er informasjon fra betalingskort med RFID.

2: Den appen vi har brukt til illustrasjonsbildet er ikke den appen det er snakk om i artikkelen. Hvis den virker like bra som CBC påstår, så vil vi ikke være medansvarlige for å spre den.

3: Ifølge den kanadiske rikskringkasteren CBC har de klart å lese all denne informasjonen fra et kort som bruker Mastercards RFID-plattform. Det ligger blant annet video ute i den kanadiske artikkelen. Mastercard har sagt at de tviler på at dette lar seg gjøre, men avviser ikke at det er mulig.

4: Vi ønsker ikke å spre skremselspropaganda, men ny teknologi medfører ofte ny risiko, og det er ofte en konflikt mellom brukervennlighet og sikkerhet. Som teknogimedium er dette et av områdene det forventes at vi følger med på.

[Ida Oftebro]

Og Arildmar: Det er riktig at dagens kort krever induksjon for at chipen skal dele informasjon. De RFID-kortene som flere av de største bankene kommer til å lansere i løpet av året, har ikke dette, ifølge de norske bankfolka jeg snakket med.