Campus HagenbergInformatik, Kommunikation, Medien

News Embedded Systems Design

FH OÖ-Forscher schließt Sicherheitslücke bei Googles Bezahl-App

Ein Forscher des NFC Research Labs an der FH OÖ in Hagenberg hat bei Googles Bezahldienst „Wallet“ eine Sicherheitslücke entdeckt und an der Lösung des Problems mitgewirkt. Dafür wurde Michael Roland in Googles "Hall of Fame" aufgenommen. In einem Interview mit futurezonewährend des NFC Kongresses in Hagenberg im September erzählt der 28-jährige Linzer, wie es zu dieser "großen Ehre" kam. Mit Sicherheitsrisiken bei NFC-Handys beschäftigt der Absolvent der FH OÖ-Studiengänge „Hardware-Software-Design“ und „Embedded Systems Design“ derzeit auch im Rahmen seiner Doktorarbeit.

Mit „Google Wallet“ hat Google eine App für Android-Smartphones auf den US-Markt gebracht, die das Handy auf einfachem Weg in eine digitale Brieftasche verwandelt. Sie erlaubt dem Handy-Besitzer mit virtuellen Versionen seiner Kredit-, Kunden- und Geschenkkarten schnell bezahlen zu können – indem man kurz sein Smartphone vor ein entsprechendes Terminal im Geschäft hält. Für den Bezahlvorgang wird dabei die Technologie namens Near Field Communication, kurz NFC, genutzt – diese ermöglicht drahtlose Datenübertragung über kurze Strecken.

Doch sicher ist dieser Art von "mobilem Bezahlen" noch nicht, wie Michael Roland, Absolvent des Bachelorstudiums „Hardware-Software-Design“ und das Masterstudiums „Embedded Systems Design“an der FH OÖ, feststellte. Im Rahmen seiner Forschungstätigkeit im NFC Research Lab an „seiner“ FH in Hagenberg entwickelte er ein Gerät, mit dem er eine Chip-Karte emulierte und sich damit in den Zahlungsvorgang einhackte. Dabei entdeckte er eine Schwachstelle, durch die ein Angreifer tatsächlich unerlaubt mit fremden Kreditkarten bezahlen könnte. Das hat der Forscher aber nicht ausgenutzt, sondern die Sicherheitslücke an Google gemeldet.

Platz in Googles „Hall of Fame“

"Nachdem man mich bei Google schließlich an den richtigen Ansprechpartner verwiesen hat, reagierte das Unternehmen rasch, schloss die Sicherheitslücke und veröffentlichte entsprechende Wallet-Updates", erzählte Michael Roland. An den Updates, die zur Lösung des Problems führten, war der FH OÖ-Forscher auch maßgeblich beteiligt. Dafür wurde er von Google mit einer Aufnahme in die „Hall of Fame“ für Sicherheit belohnt. Für den 28-jährigen Linzer ist das eine „große Ehre“und eine Bestätigung für den Erfolg seiner Forschungsarbeit, die fast eineinhalb Jahre in Anspruch genommen hat.

In den Bezahlvorgang eingehackt

Der Sicherheitsproblem auf die Spur kam Michael Roland, indem er den Zahlungsvorgang simulierte und sich darin mit einem selbst entwickelten Kartenemulator "einhackte". Den genauen Vorgang seines Hacks, mit dem man als Angreifer mit fremden Kreditkarten bezahlen könnte, beschrieb er im futurezone-Interview während des NFC Kongresses in Hagenberg Mitte September so: "Alle Zahlungsanfragen, die vom Lesegerät, also dem Terminal kommen, werden in Echtzeit drahtlos übers Internet an ein Handy weitergeleitet. Auf dem Handy befindet sich installierte Malware, die die Anfrage dann an die Kreditkarte leitet. Die Antwort wird dann von der Kreditkarte zurück ans Handy und über den Kartenemulator in Echtzeit an das Lesegerät geschickt. Damit kann die Kreditkarte unerlaubt von einem Dritten genutzt werden."

Dissertation zu Sicherheit und NFC

Michael Roland beschäftigt sich nicht nur als Forscher im NFC Research Lab der FH OÖ eingehend mit Sicherheitslücken bei NFC-Smartphones, sondern auch im Rahmen seiner Dissertation. Zudem forscht er im Bereich Sicherheitsstandards für NFC-Tags. Mit den sticker-ähnlichen NFC-Tags lässt sich etwa automatisch eine App starten, eine Nachricht versenden oder das Telefon ins WLAN einbuchen – einfach, indem man das Smartphone gegen den Tag hält. Auch in diesem Bereich hat der junge Forscher bereits Sicherheitslücken entdeckt – und entsprechende Lösungsvorschläge erarbeitet (Mehr dazu im futurezone-Interview).

FH OÖ forscht für mehr Sicherheit in der Mobilkommunikation

Mobiles Bezahlen via NFC ist derzeit auf dem Vormarsch. Die Zahlungsform wurde bei den Olympischen Spielen in London für Ticketkäufe probeweise eingesetzt, Visa und Mastercard machen ihre Kreditkarten derzeit NFC-tauglich, und Millionen Handys sollen zukünftig mit NFC-Chips ausgestattet sein.

Dem zukunftsträchtigen Technologie NFC widmen sich Forscher und Lehrende an der FH OÖ schon seit längerer Zeit, vor allem im NFC Research Lab unter der Leitung von FH OÖ-Professor Dr. Josef Langer. Nun wird die Forschung zum Thema „Sicherheit in der Mobilkommunikation“ noch weiter ausgebaut. Diesen Sommer erhielt die FH OÖ die Zusage für ein neues, zweites Josef-Ressel-Zentrum für angewandte Forschung in Hagenberg, das mit knapp 1,5 Millionen Euro gemeinsam vom Bundesministerium für Wirtschaft, Familie und Jugend und von namhaften Unternehmenspartnern gefördert wird.Das neue Forschungszentrum heißt „User-friendly Secure Mobile Environments“ (kurz „u’smile“). Unter Leitung von FH OÖ-Professor Dr. René Mayrhofer werden ForscherInnen gemeinsam mit Firmenpartnern daran arbeiten, die Sicherheit von mobilen Applikationen (kurz Apps) und mobilen Plattformen vom Smartphone bis zum Tablet-PC zu verbessern.

Michael Roland

Michael Roland, FH OÖ-Absolvent und Forscher am NFC Research Lab der FH OÖ in Hagenberg, wurde für seine Entdeckung und Mitarbeit an der Problemlösung in Googles „Hall of Fame“ aufgenommen. (Foto: FH OÖ, Abdruck honorarfreit)