NFC - Near Field Communication: Difference between revisions
Line 106: | Line 106: | ||
===Manipulierte Tags=== |
===Manipulierte Tags=== |
||
Collin Mulliner führt in |
Collin Mulliner führt in (Mulliner 2009) mehrere Beispielangriffe |
||
auf. |
auf. |
||
Revision as of 19:03, 15 July 2010
WIP (momentan nur die Folien verschriftlicht)
Überblick
Was ist NFC?
Near Field Communication (im folgenden NFC) ist eine Technologie, um Kommunikation über sehr kurze Entfernung zu ermöglichen. Es handelt sich hierbei um eine Erweiterung des RFID Standards ISO 14443, wodurch die Kommunikation sowohl zwischen NFC Geräten, als auch zwischen RFID Chips und NFC Geräten möglich ist. Dies erlaubt die Weiternutzung bestehender Infrastrukturen, ohne komplett neue Systeme ins Feld bringen zu müssen.
In den folgenden Abschnitten werden mehrere Einsatzmöglichkeiten sowie die Grundlagen der Technologie und deren Sicherheitsrisiken näher dargestellt.
Anwendungen
Wozu überhaupt NFC? -- Beispielanwendungen
- Mobile Tickets - Einchecken per Telefon.
- Smart Posters - Werbung, Informationen.
- Pairing - Bluetoothpairing vereinfachen.
Touch & Travel
- Mobiltelefon als elektronisches Ticket
- Einchecken an Touchpoint
- Aktuell: zweite Testphase (seit Dez. 2008)
TODO Grafik {bilder/mehdorn.jpg} Aus [1], So 16. Mai 18:09:36 CEST 2010}
Frankfurter U-Bahn
- smart poster
- Reiseinformationen
- Eventinformationen
- Informationen über Sehenswürdigkeiten
- Spezielle Angebote
vgl. nfcworld_april2010. \includegraphics[scale=0.5]{bilder/frankfurt-info-module.jpg}
NFC und andere Technologien
Mobilkom Austria:
- Elektronisches Geld, Tickets, etc.
Aus mobilkomaustria:
Thanks to NFC, many everyday applications will become even simpler: With a single movement of the hand, a mobile phone can be transformed into a railway ticket, tram ticket, pay-and-display parking ticket, lottery ticket and much more.
Technische Grundlagen
Technische Grundlagen
- ISO 18092
- Bidirektionale Kommunikation über kurze Entfernung (bidirectional proximity coupling device ).
- Basiert auf ISO 14443 (Standard für kontaktlose Chipkarten und deren Kommunikation)
Technische Grundlagen
- 13,56 MHz Spektrum (vgl. ISO 14443 und proximity cards )
- Transferraten: 106, 216, 424 kbit/s}
- Kommunikation üblicherweise über 2-4 cm (vgl. mulliner2009vulnerability)}
- NDEF (NFC Data Exchange Format) für die Kommunikation
Weitere Informationen: [2]
Operationsmodi
- reader/writer mode NFC-fähiges Gerät agiert als proximity coupling device (PCD).
- card emulation mode NFC-fähiges Gerät agiert als proximity inductive coupling card (PICC).
- peer-to-peer mode Zwei NFC-fähige Geräte tauschen über das Protokoll beliebige Daten aus.
aktiver und passiver Modus
Message--Reply Concept
- Gerät A schickt an Gerät B eine Nachricht, um darauf eine Antwort zu erhalten.
- Passive Geräte können nicht als Initiator auftreten.
\includegraphics[scale=0.5]{bilder/message_reply/msgreply.png}
Sicherheit
Problematik
- Funktechnologie -- bringt Vielzahl von möglichen Gefahren
- Keine digitale Signaturen für passive Tags -- Manipulation
Gefahren
Mögliche Gefahren
- Eavesdropping \cite[S. 5] (Haselsteiner 2006)
- Data modification (corruption, modification, insertion) (ebd.)
- Man-in-the-middle} (ebd.)
- Manipulation von tags (Mulliner 2009)
Sicherheit bezüglich bestimmter Gefahren
Ernst Haselsteiner und Klemens Breitfuß analysieren in (Haselsteiner 2006) die Sicherheit von NFC:
- Eavesdropping - möglich bei Abständen unter 10 m (aktiver Modus) oder 1 m (passiver Modus)
- Data modification/corruption/insertion - können erkannt und vermieden werden
- Man-in-the-middle -- schwer durchführbar
Diese Angriffe sind also nur schwer durchführbar. Sind einfachere Angriffe denkbar?
Manipulation
Manipulierte Tags
Collin Mulliner führt in (Mulliner 2009) mehrere Beispielangriffe auf.
- NDEF Fuzzing -- Mobiltelephon stürzt eventuell bei bestimmten Werten einfach ab
- Padding -- Verbergen des URI
- NFC Wurm -- Link auf .jar, Nokia 6131 NFC führt diese Datei nach Beenden des Browsers aus
Manipulierte Tags
- Triviale Fehler in der Implementation
- Leicht auszunutzen
- Gefährlich, weil billig
Fazit
- Es gibt noch bestehende Sicherheitsprobleme, wobei Manipulation von tags am realistischten erscheint.
- Eavesdropping kann einfach verhindert werden. (vgl. haselsteiner2006security)
- Eine PKI ist nötig, um sicher mit passiven Tags arbeiten zu können.
Quellenverzeichnis
CLARK, Sarah: Frankfurt transport network gets NFC and QR Code smart posters. In: www.nearfieldcommunicationsworld.com Version: April 2010
HASELSTEINER, E.; BREITFUSS, K.: Security in near field communication (NFC). In: Workshop on RFID Security (RFIDSec’06), 2006
MATTES, Elisabeth: Telekom Austria Group: mobilkom austria and renowned partners launch the world’s largest and most comprehensive roll-out of NFC services. In: www.nfc-forum.org Version: September 2007
MULLINER, C.: Vulnerability Analysis and Attacks on NFC-enabled Mobile Phones. In: 2009 International Conference on Availability, Reliability and Security IEEE, 2009, S. 695–700