Master- Arbeit - Lehrstuhl für Technische Informatik - Universität ...
Master- Arbeit - Lehrstuhl für Technische Informatik - Universität ...
Master- Arbeit - Lehrstuhl für Technische Informatik - Universität ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Eberhard Karls <strong>Universität</strong> Tübingen<br />
Mathematisch-Naturwissenschaftliche Fakultät<br />
Wilhelm-Schickard-Institut <strong>für</strong> <strong>Informatik</strong><br />
<strong>Master</strong> Thesis <strong>Informatik</strong><br />
Online Bezahlung mit NFC Smartphone und<br />
NFC Geldkarte<br />
Lei Huang<br />
2. Juni 2013<br />
Reviewers<br />
Dr. Bernd Borchert<br />
(<strong>Informatik</strong>)<br />
Wilhelm-Schickard-Institut <strong>für</strong> <strong>Informatik</strong><br />
<strong>Universität</strong> Tübingen<br />
Prof. Klaus Reinhardt<br />
(<strong>Informatik</strong>)<br />
Wilhelm-Schickard-Institut <strong>für</strong> <strong>Informatik</strong><br />
<strong>Universität</strong> Tübingen
Huang, Lei:<br />
Online Bezahlung mit NFC Smartphone und NFC Geldkarte<br />
<strong>Master</strong> Thesis <strong>Informatik</strong><br />
Eberhard Karls <strong>Universität</strong> Tübingen<br />
Bearbeitungszeitraum: Januar 2013 - Juni 2013
i<br />
Abstrakt<br />
Mobile Bezahlung und NFC (Near Field Comminication) spielen heutzutage<br />
eine große Rolle. Bei NFC handelt es sich um eine kontaktlose Kommunikationstechnologie,<br />
die schon in zahlreichen Smartphones implementiert wurde. Mit<br />
zunehmender Nutzungsakzeptanz wird die mobile Zahlung mittels NFC noch<br />
an größerer Bedeutung gewinnen. Doch dieser Hype <strong>für</strong> NFC bestand nicht<br />
schon immer. Vor der Anwendungmöglichkeit, mittels NFC mobile Zahlungen<br />
vornehmen zu können, nutzte man diese Technologie bereits in anderen<br />
Bereichen. Dort begegnete man dieser Methode mit großer Skepsis, was sogar<br />
dazu geführt hatte, dass sie ganz in Vergessenheit geraten war. Diese <strong>Arbeit</strong><br />
beschäftigt sich mit den verschiedenen Prozessen der Online-Bezahlung mittels<br />
NFC, das als Medium ein Smartphone oder eine Geldkarte nutzt. Darüber<br />
hinaus wird die Entwicklung einer Applikation vorgestellt, die <strong>für</strong> eine erfolgreiche<br />
mobile Bezahlung mit den verschiedenen Transaktionsstationen kommunizieren<br />
kann. Hier<strong>für</strong> wird ein B2C Onlineshop generiert, der sich dank<br />
eines Servers mit der Kunden- und der Händler-Station verständigt. Es wird<br />
in allen einzelnen Prozessen sowohl die Bedienbarkeit, also auch die Sicherheit<br />
berücksichtigt, um die Entwicklung und somit auch die Akzeptanz dieser<br />
neuen Kommunikationstechnologie zu fördern.
ii<br />
Danksagung<br />
Für die Mitwirkung an dieser Studie möchte ich an dieser Stelle allen betroffenen<br />
Personen meinen Dank aussprechen:<br />
Besonderen Dank gilt Herrn Borchert, der mir als Ansprechpartner und<br />
als Erstprüfer im Institut betreuend zur Seite stand. Ebenso danke ich Herrn<br />
Prof. Reinhardt in seiner Funktion als Zweitkorrektor.<br />
Ohne die verständnisvolle Unterstützung meiner Familie und Freunde, die<br />
mir während der Abschlussarbeit die notwendige emotionale Unterstützung<br />
gegeben haben und mich auch in anstrengenden Phasen stets motivieren konnten,<br />
hätte ich kaum in der geplanten Zeit so zügig mein Ziel erreichen können,<br />
weswegen ich Ihnen hier<strong>für</strong> sehr dankbar bin.<br />
Zum Schluss möchte ich allen Mitarbeitern an der <strong>Universität</strong> Tübingen,<br />
die es mir ermöglicht haben, mein ausländisches Studium erfolgreich abschließen<br />
zu können, meinen besonderen Dank ausdrücken. Während meines<br />
dreijährigen Studiums habe ich eine sehr schöne Zeit in Tübingen verbringen<br />
dürfen, die mir immer in Erinnerung bleiben wird.<br />
Tübingen, den 2. Juni 2013<br />
Lei Huang
Inhaltsverzeichnis<br />
List von Figures<br />
List von Tables<br />
Abkürzungsverzeichnis<br />
vii<br />
ix<br />
xi<br />
1 Einleitung 1<br />
1.1 Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1<br />
1.2 Ziel der <strong>Arbeit</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . 2<br />
1.3 Aufbau der <strong>Arbeit</strong> . . . . . . . . . . . . . . . . . . . . . . . . . 2<br />
1.4 Technologie und Programmierungssprache . . . . . . . . . . . . 3<br />
2 E-Commerce und Online Bezahlung 5<br />
2.1 Beschreibung E-Commerce . . . . . . . . . . . . . . . . . . . . . 5<br />
2.2 Organisatorische E-Commerce Struktur . . . . . . . . . . . . . . 5<br />
2.3 Beschreibung Online Shop . . . . . . . . . . . . . . . . . . . . . 6<br />
2.4 Online Bezahlungsmethode . . . . . . . . . . . . . . . . . . . . . 6<br />
2.5 Entwicklungsidee von Online Shop . . . . . . . . . . . . . . . . 8<br />
2.5.1 Die Funktionen des Online Shops . . . . . . . . . . . . . 8<br />
2.5.2 Datenbank von Online Shop . . . . . . . . . . . . . . . . 8<br />
3 Relevante Technologie über NFC 11<br />
3.1 NFC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11<br />
3.1.1 Sicherheitsanalyse von NFC . . . . . . . . . . . . . . . . 12<br />
iii
iv<br />
INHALTSVERZEICHNIS<br />
3.2 NFC-Geldkarte . . . . . . . . . . . . . . . . . . . . . . . . . . . 13<br />
3.3 NFC-Geräte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14<br />
3.4 Secure Element (SE) . . . . . . . . . . . . . . . . . . . . . . . . 16<br />
3.5 NFC Relay Technik . . . . . . . . . . . . . . . . . . . . . . . . . 16<br />
3.5.1 Ortsabhängige Transaktion . . . . . . . . . . . . . . . . . 17<br />
3.5.2 Online Transaktion . . . . . . . . . . . . . . . . . . . . . 17<br />
3.5.3 Entwicklungsbeschreibung . . . . . . . . . . . . . . . . . 19<br />
3.5.4 Sicherheitsanalyse von NFC Relay . . . . . . . . . . . . . 22<br />
3.6 Der spezifisch erweiterte Relay Attack . . . . . . . . . . . . . . 23<br />
4 Relevante Technologie über QR-Code 25<br />
4.1 Grundlage der QR-Code . . . . . . . . . . . . . . . . . . . . . . 26<br />
4.2 Die QR-Code Erzeugung . . . . . . . . . . . . . . . . . . . . . . 29<br />
4.3 QR-Code in Android . . . . . . . . . . . . . . . . . . . . . . . . 30<br />
4.3.1 Kamara Kontrollieren in Android . . . . . . . . . . . . . 30<br />
4.3.2 Decodiereung QR-Code in Android . . . . . . . . . . . . 31<br />
4.4 Sicherheitsanalyse von QR-Code . . . . . . . . . . . . . . . . . . 32<br />
4.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . 32<br />
5 NFC Online Bezahlungssystem 35<br />
5.1 Abschnitte des Online Zahlungssystems . . . . . . . . . . . . . . 35<br />
5.1.1 1.Abschnitt (Kunden-Station) . . . . . . . . . . . . . . . 35<br />
5.1.2 2.Abschnitt (Server-Station) . . . . . . . . . . . . . . . . 36<br />
5.1.3 3.Abschnitt (Verkäufer-Station) . . . . . . . . . . . . . . 36<br />
5.2 Kommunikationsprotokoll . . . . . . . . . . . . . . . . . . . . . 36<br />
6 Anwendung und Implementierung 39<br />
6.1 Applikationseigenschaften . . . . . . . . . . . . . . . . . . . . . 39<br />
6.2 Implementierung und Einleitung der Applikation . . . . . . . . 39<br />
6.2.1 Start der Applikation . . . . . . . . . . . . . . . . . . . . 41<br />
6.2.2 Erfassung des QR-Codes . . . . . . . . . . . . . . . . . . 42
INHALTSVERZEICHNIS<br />
v<br />
6.2.3 Erfassung der Geldkarte . . . . . . . . . . . . . . . . . . 42<br />
6.2.4 Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . 42<br />
6.2.5 Erfolg Transaktion . . . . . . . . . . . . . . . . . . . . . 43<br />
7 Sicherheitsanalyse von NFC Zahlungssystem 45<br />
7.1 Die sicherheitstechnischen Bedenken . . . . . . . . . . . . . . . . 45<br />
7.2 Mögliche Maßnahmen . . . . . . . . . . . . . . . . . . . . . . . . 46<br />
7.2.1 Gefahrenherd: Kunden-Station . . . . . . . . . . . . . . . 46<br />
7.2.2 Gefahrenherd: Datenübertragung . . . . . . . . . . . . . 46<br />
7.2.3 Gefahrenherd: Verkäufer-Station . . . . . . . . . . . . . . 46<br />
8 Zusammenfassung 49<br />
Bibliography 51
vi<br />
INHALTSVERZEICHNIS
Abbildungsverzeichnis<br />
2.1 Bezahlung Transaktion mit Geldkarte . . . . . . . . . . . . . . . 7<br />
2.2 Struktur der Datenbank von Online Shop . . . . . . . . . . . . . 9<br />
3.1 Die Struktur von Operation . . . . . . . . . . . . . . . . . . . . 12<br />
3.2 NFC Chip von Sparkassen . . . . . . . . . . . . . . . . . . . . . 14<br />
3.3 Ortsabhängige Transaktion . . . . . . . . . . . . . . . . . . . . . 17<br />
3.4 Ortsunabhängige Transaktion . . . . . . . . . . . . . . . . . . . 18<br />
3.5 Transaktionsinformation auf Kunden Handy . . . . . . . . . . . 19<br />
3.6 Intent System mit drei verschiedener Priorität . . . . . . . . . . 21<br />
3.7 Relay scenario 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . 24<br />
3.8 Relay scenario 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . 24<br />
4.1 QR-Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26<br />
4.2 Struktur von QR-Code . . . . . . . . . . . . . . . . . . . . . . . 27<br />
4.3 Die QR-Code Erzeugung . . . . . . . . . . . . . . . . . . . . . . 29<br />
4.4 Decodierte Information von QR-Code . . . . . . . . . . . . . . . 30<br />
5.1 Drei Abschnitte des Online Zahlungssystems . . . . . . . . . . . 36<br />
5.2 Bezahlungsprotokoll . . . . . . . . . . . . . . . . . . . . . . . . 37<br />
6.1 Bestellungsinformation und QR-Code . . . . . . . . . . . . . . . 40<br />
6.2 NFC ePayment . . . . . . . . . . . . . . . . . . . . . . . . . . . 41<br />
6.3 Go to Software . . . . . . . . . . . . . . . . . . . . . . . . . . . 41<br />
6.4 Bestellungsinformation auf Handy . . . . . . . . . . . . . . . . . 42<br />
vii
viii<br />
ABBILDUNGSVERZEICHNIS<br />
6.5 Datenbank . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43<br />
6.6 Erfolg Transaktion, Rückmeldung . . . . . . . . . . . . . . . . . 43
Tabellenverzeichnis<br />
2.1 Lösungen <strong>für</strong> Online Bezahlung . . . . . . . . . . . . . . . . . . 6<br />
ix
x<br />
TABELLENVERZEICHNIS
Abkürzungsverzeichnis<br />
AEE<br />
APDU<br />
API<br />
B2B<br />
B2C<br />
C2C<br />
DB<br />
HF<br />
IEC<br />
ISO<br />
LLCP<br />
NDEF<br />
NFC<br />
QR Code<br />
RFID<br />
SE<br />
SSL<br />
TEE<br />
Anwendung Execution Environment<br />
Application Protocol Data Unit<br />
Application Programming Interface<br />
Business to Business<br />
Business to Consumer<br />
Consumer to Consumer<br />
Daten Bank<br />
Hochfrequenz<br />
International Electrotechnical Commission<br />
International Organization for Standardization<br />
Logical Link Controll Protocol<br />
NFC Forum Data Format<br />
Near Field Communication (Nahfeldkommunikation)<br />
Quick Response Code<br />
Radio Frequency Identification<br />
Secure Element<br />
Secure Sockets Layer<br />
Trusted Execution Environment<br />
xi
xii<br />
Abkürzungsverzeichnis
Kapitel 1<br />
Einleitung<br />
1.1 Überblick<br />
Es gibt über 61 Millionen Menschen in Deutschland, die ein eigenes Handy<br />
besitzen, und die Zahl der Smartphone-Nutzer steigt tendenziell weiter an.<br />
Aufgrund dieses zunehmenden Nutzungsverhaltens ist besonders, bedeutend<br />
in diese Technologie weiter zu investieren und zu forschen. “Mobile Commerce”und<br />
“Near Field Communication”sind sehr attraktive Anwendungsbereiche,<br />
deren Vorzüge noch bei weitem nicht ausgeschöpft wurden.<br />
Dabei soll “Mobile Commerce”als Weiterentwicklung des bisherigen Onlineshopangebots<br />
angesehen werden. Trotz immer größer werdenden Touchscreens<br />
ist es <strong>für</strong> Anwendung dennoch immer wieder aufwendig, Zahlungsdaten<br />
manuell einzeln einzugeben, weswegen “Near Field Communication”hierbei<br />
einen besonderen Nutzungskomfort anbietet. Mobiles Bezahlen kann <strong>für</strong> unsere<br />
Zwecke wie folgt definiert werden: Ein mobiles Endgerät initiiert den<br />
Zahlungsvorgang, daraufhin erfolgt die Authentifizierung, während im Hintergrund<br />
der Austausch der finanziellen Werte bzw. Dienstleistungen erfolgt.<br />
NFC (Near Field Communication) ist eine kontaktlose Kommunikationstechnologie,<br />
die in vielen Smartphones bereits angeboten wird. Bisher wird<br />
die Dienstleistung “mobiles Bezahlen”noch selten genutzt, aber sie gewinnt an<br />
zunehmende Bedeutung. Kunden zeigen eine höhere Kaufbereitschaft, je komfortabler<br />
der Bestell- und Zahlungsvorgang ist. Jeder Verkäufer hat ein großes<br />
Interesse, in NFC zu investieren, wenn deren Attraktivität seine Kunden zu<br />
mehr und schnelleren Einkäufen bewegt. Die mittlerweile relativ preisgünstigen<br />
Monatspauschalen <strong>für</strong> mobiles Internet und die große Zahl an verfügbaren<br />
Endgeräten (Smartphones, Tablets und sogenannte Phablets) sind massgeblich<br />
<strong>für</strong> den bevorstehenden Erfolg von mobiler Bezahlung.<br />
In meiner Thesis befasse ich mich mit mobiler Bezahlung mittels NFC. Hierbei<br />
muss man den Bezahlvorgang in drei verschiedene Abschnitte unterteilen.<br />
Zunächst muss eine sichere Transaktionsplattform gewährleistet sein, es muss<br />
1
2 KAPITEL 1. EINLEITUNG<br />
ein effektives servergestütztes Kommunikationsprotokoll zwischen Smartphone<br />
und Onlineshop gegeben sein, und zuletzt muss der gesamte Bezahlungsvorgang<br />
sicherheitstechnisch analysiert werden. [10]<br />
1.2 Ziel der <strong>Arbeit</strong><br />
Finanzielle Transaktionen, die über NFC ausgeführt werden, bieten im Vergleich<br />
zu den bisher angewandten Zahlungssystemen den Vorteil, dass die<br />
Bezahlung selbst nicht mittels Geheimzahl oder Unterschrift durch den Zahlenden<br />
selbst legitimiert werden muss.<br />
In der vorliegenden <strong>Arbeit</strong> soll vollständig die Entwicklung eines NFC<br />
Zahlungssystem vorgestellt werden, welches aus drei unterschiedlichen Stationen<br />
besteht. Jede Einheit führt ihre spezifischen Funktionen aus und kommuniziert<br />
ihre Ergebnisse dann an die nächste weiter. Im Bereich des mobilen<br />
Onlineshoppings lassen sich die Vorteile dieser Zahlungsweise dank ihres ortsungebunden<br />
Einsatzes am besten verdeutlichen.<br />
Sobald Geld von einem Sender an einen Empfänger übertragen wird, muss<br />
man grundsätzlich auch alle Sicherheitsrisiken im Vorfeld abschätzen, um dann<br />
dem Missbrauch erfolgreich entgegenwirken zu können. Eine verschlüsselte<br />
servergestützte Kommunikation zwischen Käufer und Verkäufer, die mittels<br />
einer spezifischen Android Applikation seitens des Kunden initiiert wird, soll<br />
diesem hoch erwünschte Sicherheitsbedürfnis gerecht werden.<br />
1.3 Aufbau der <strong>Arbeit</strong><br />
In Kapitel 2 werden die wesentliche Grundlagen des E-Commerce erläutet.<br />
Es werden drei Arten von E-Commerce vorgestellt, worunter die Geldkarten<br />
Zahlfunktion in dieser <strong>Arbeit</strong> selbst zur Anwendung kommt. In Kapitel 3 werden<br />
dann die verschiedene Grundlagen der Technologien und ihre Anwendungsfelder<br />
aufgezeigt. Ferner steht der Entwurf eines Kommunikationsprotokoll<br />
und die Sicherheitsanalyse der Near Field Communation Technologie im Mittelpunkt<br />
der Betrachtung. Die Implikation oder Einleitung dieser Applikation<br />
wird schließlich in Kapitel 4 veranschaulicht.<br />
Diese Thesis ist wie folgt unterteilt:<br />
• <strong>Technische</strong> Durchführung des mobilen Bezahlungsvorgangs mittels NFC<br />
• Entwicklung eines relativ sicheren Kommunikationsprotokolls<br />
• Entwicklung einer dazu passenden Android Applikation<br />
• Abschließende Transaktionssicherheitsanalyse
1.4. TECHNOLOGIE UND PROGRAMMIERUNGSSPRACHE 3<br />
1.4 Technologie und Programmierungssprache<br />
Die folgenden zwei Technologien stehen in dieser <strong>Arbeit</strong> im Fokus: NFC und<br />
QR-Code. Beide Systeme dienen der automatischen Datenübertragung, die<br />
dem Nutzer eine müheselig manuelle Eingabe von Informationen erspart.<br />
Während es sich bei “Near Field Communivaton”, kurz “NFC”, um einen<br />
genormte kontakt- und drahtlose Transfertechnologie handelt, bei dem Sender<br />
und Empfänger jeweils nur wenige Zentimenter entfernt zueinander zugeführt<br />
werden müssen, wird beim QR-Code Daten optisch eingescannt.<br />
Als Hersteller- und Geräteübergreifendes Betriebssystem wurde Android<br />
ausgewählt. Die darin entwickelte Applikation soll eine reibungslose Kommunikation<br />
zwischen Online Shop, Kunde und Bank ermöglichen. Der Online-<br />
Shop selbst wurde mit PHP, Javascript und HTML programmiert und fasst<br />
die Auswahl des Warenkorbs gegen Ende als QR-Code zusammen, um diese<br />
bequem auf das Smartphone übertragen zu können. Dort erfolgt schließlich<br />
der Zahlungsvorgang, indem die Transaktion zwischen Applikation und NFC-<br />
Kartenmedium initialisiert wird. Jede Station hat eigen mit SQL programmierte<br />
Datenbank. [11]
4 KAPITEL 1. EINLEITUNG
Kapitel 2<br />
E-Commerce und Online<br />
Bezahlung<br />
2.1 Beschreibung E-Commerce<br />
E-Commerce steht <strong>für</strong> Electronic Commerce. E-Commerce ist ein Begriff <strong>für</strong><br />
alle Arten von Geschäften oder kommerziellen Transaktionen, bei der eine<br />
Informationsübertragung online erfolgt. Somit ist das Internet bei den verschiedensten<br />
Unternehmen, die diesen Geschäftsweg bereits nutzen, gar nicht<br />
mehr wegzudenken.<br />
E-Commerce ermöglicht Verbrauchern einen orts- und zeitunabhängigen<br />
Einkauf von Waren oder Dienstleistungen. Seit fünf Jahren wird dieser Bereich<br />
ständig ausgebaut und weiterentwickelt. [18]<br />
2.2 Organisatorische E-Commerce Struktur<br />
Im Bereich E-Commerce finden sich die verschiedensten Bezeichnungen: B2B,<br />
B2C und C2C.<br />
B2B steht <strong>für</strong> “Business to Business”. Hier werden Geschäfte zwischen zwei<br />
Firmen abgewickelt. [21]<br />
B2C steht <strong>für</strong> “Business to Consumer”. Es unterscheidet sich von B2B<br />
darin, dass hier Endkundenverkäufe stattfinden. Entweder verkauft hierbei der<br />
Hersteller seine Produkte direkt an den Kaufinteressenten, oder aber ein Zwischenhändler<br />
übernimmt diese Verkäuferposition. [17]<br />
C2C ist die Abkürzung <strong>für</strong> Consumer-to-Consumer-E-Commerce. Hier<br />
verkaufen Kunden direkt an andere Kunden ihre Waren. Drittanbieter wie zum<br />
Beispiel Auktionsplattformen ermöglichen hierbei die Kommunikation und den<br />
Verkauf zwischen den Verbrauchern.<br />
5
6 KAPITEL 2. E-COMMERCE UND ONLINE BEZAHLUNG<br />
2.3 Beschreibung Online Shop<br />
Beim Online-Shopping kauft der Kunde seine Ware online beim Verkäufer oder<br />
direkt vom Hersteller.<br />
Im Vergleich mit traditionellem Commerce hat E-Commerce (Online Shop)<br />
viele Vorteile.<br />
• Bequemlichkeit: Orts- und zeitungebunden können Kunden Ihre<br />
Waren einkaufen.<br />
• Preisvergleich: Suchmaschinen ermöglichen einen direkten Preisvergleich<br />
binnen weniger Sekunden, wovon Kunde und Wettbewerb profitieren.<br />
• Übersichtlichkeit: Kunden können dank Kategorien und Suchbegriffen<br />
schneller ihre gesuchten Waren finden.<br />
2.4 Online Bezahlungsmethode<br />
Lange Warteschlangen, wie Sie in Supermärkten üblich sind, sind beim Online<br />
Kauf passé. Jeder Kunde kann direkt nach Warenauswahl mit wenigen<br />
Eingaben seine Bezahlung abschließen. Die folgende Tabelle verschafft einen<br />
Überblick über die bisherigen Varianten der Online-Bezahlung.<br />
Lösung<br />
E Wallet<br />
Geldkarte<br />
PingPing<br />
Typ<br />
Digital Kredit Konto<br />
Digital Cash<br />
Digital Accumulating Balance Payment<br />
Tabelle 2.1: Tabelle zeigt verschiedene Lösungen <strong>für</strong> Online Bezahlung, die<br />
mehre Bequemlichkeit <strong>für</strong> Kunden bringen können<br />
E-Wallet Bei E-Wallet handelt es sich um eine Software Komponente,<br />
die ein Benutzer auf seinen Desktop herunterlädt und in welcher Kreditkartennummern<br />
und andere persönliche Informationen gespeichert werden. Wenn ein<br />
Kunde Produkte bei einem Geschäft kauft , das E-Wallet akzeptiert, klickt<br />
er auf den E-Wallet-Button und alle Formulare werden auftomatisch mit den<br />
notwendigen Informationen ausgefüllt. [15]<br />
Geldkarte Hier muss Geld digital auf dem Speicherchip der Geldkarte<br />
hinterlegt sein. Am häufigsten zahlt man hiermit im öffentlich Personennahverkehr<br />
oder Online. [15]
2.4. ONLINE BEZAHLUNGSMETHODE 7<br />
Das Kundenkonto wird um den entsprechenden Betrag belastet, der Betrag<br />
auf einen gemeisamen Geldbörse Verrechnungskonto hinterlegt und und diese<br />
Information auf dem Mikrochip der Karte aufgezeichnet. [15]<br />
Im nächsten Bild 2.1 zeigt die Zahlung mit der Geldkarte. Ohne Authentifizierung<br />
wird der Betrag vom Guthaben des Kunden abgezogen und auf das<br />
mit dem Chip des Verkäufers hinterlegten Verrechnungskonto gutgeschrieben.<br />
Abbildung 2.1: Bezahlung Transaktion mit Geldkarte<br />
PingPing PingPing ist eine weitere Dienstleistung der mobilen<br />
Bezahlung, die durch SMS oder NFC Tags umgesetzt wird.<br />
Bei NFC-Zahlung, scannen sich zwei mobile Endgeräte, um die spezifische<br />
Kundenanforderung initiieren zu können. Dazu muss der Verkäufer online<br />
gehen, um die Kundeninformationen zu überprüfen und die Transaktion abschliessen<br />
zu können.<br />
Bei SMS-Zahlung sendet der Kunde eine spezifische Kurznachricht an eine<br />
spezielle Empfängernummer. Diese Mitteilung kann dann variable abgerechnet<br />
werden. Als Bestätigung bekommt der Kunde eine Nachweis Zahlung per SMS<br />
aufs Handy zurückgeschickt.
8 KAPITEL 2. E-COMMERCE UND ONLINE BEZAHLUNG<br />
2.5 Entwicklungsidee von Online Shop<br />
Diese <strong>Arbeit</strong> beschäftigt sich mit der Weiterentwicklung des B2C Online Commerce<br />
Types. Dank des B2C Online-Shop-Systems werden bereits heute eine<br />
große Masse an Kunden optimal bedient. Neben diesen Händlervorteil profitiert<br />
ebenso der Kunde. Er kann zeit- und ortsungebunden einkaufen und<br />
mit wenig Aufwand schnelle Preisvergleiche starten. Ferner kann der Händler<br />
dem Kunden Preisrabatte gewähren, die der stationären Handel aufgrund der<br />
höheren Standorts- und Personalkosten nicht an den Kaufinteressenten weiterreichen<br />
kann.<br />
2.5.1 Die Funktionen des Online Shops<br />
Der Nutzungsaspekt <strong>für</strong> den Händler<br />
Ein B2C Onlineshop soll dem Verkäufer den Umgang mit Transaktionen erleichtern.<br />
Hier können Händler ihre Artikel einfach in einer Datenbank hinterlegen<br />
und Beschreibungen und Verfügbarkeiten online zeitnah auch nachträglich<br />
modifizieren. Die Kunden selbst haben ebenfalls den Vorteil, dort alle <strong>für</strong> sie<br />
wichtigen Informationen sortiert auffinden zu können.<br />
Nach Warenanforderung durch den Kunden hat so auch der Verkäufer die<br />
Möglichkeit, seinen Warenbestand dementsprechend anzupassen. [6]<br />
Der Nutzungsaspekt <strong>für</strong> den Kunden<br />
Die zentralen Vorteile <strong>für</strong> den Kunden sind die Übersichtlichkeit aller angebotenen<br />
Produkte und die Möglichkeit, durch Nutzung von datenbankbasierten<br />
Merk- und Kauflisten seinen gewünschten Einkaufskorb beliebig zu befüllen<br />
oder abzuändern.<br />
Nach der Artikelauswahl wird ein passender QR-Code erzeugt.<br />
2.5.2 Datenbank von Online Shop<br />
Die Datenbank eines Online Shops besteht aus insgesamt vier Komponenten<br />
wie Bild 2.2 zeigt.<br />
• customers<br />
• order<br />
• order detail
2.5. ENTWICKLUNGSIDEE VON ONLINE SHOP 9<br />
Abbildung 2.2: Struktur der Datenbank von Online Shop<br />
• products<br />
In der Datenbank sind innerhalb der Tabelle vier Spalten, die wie folgt<br />
benannt werden, aufgeführt: “customers”, “order”, “order detail ”und “products”.<br />
Die Interaktion der einzelnen Spalten zueinander kann im Bild 2.2 eingesehen<br />
werden.<br />
Die Spalte “customers”enthält Informationen über den Kunden selbst,<br />
beispielsweise die Daten “Kunden-Name”, “Transaktion ID”und “serial”.<br />
Während es sich bei “serial”um eine aufsteigend numeriende Ordnungszahl<br />
handeln, verwendet man bei “Transaktion ID”zufällige Zahlen.<br />
Die Spalte “order”umfasst die folgenden Datenwerte: “serial”, “customid”und<br />
“date”. Der “customid”-Wert steht in direkter Abhängikeit vom<br />
“serial”-Wert aus der Spalte “customers”. Der “date”-Wert enthält das<br />
Transaktionsdatum.<br />
Die Spalte “order detail”setzt sich aus den folgenden Variablen zusammen:<br />
“orderid”, “price”, und “productid”. Hierbei steht der Datenwert “orderid”in<br />
Relation zum “customid”-Wert aus der Spalte “order”.<br />
Die Spalte “products”fasst die Informationen zu den verkauften Produkten<br />
zusammen: “serial”, “name”und “price”. Dabei ist der Datenwert “serial”vom<br />
“productid”-Wert der Spalte “order detail”abhängig.<br />
Tabelle “cumsters”speichert die Informationen von Kunden. zum Beispiel,<br />
“serial”, “Kunden Name”und “Transaktion ID”. “serial”ist eine nartürliche<br />
Zahl und erzeugt <strong>für</strong> jede Produkt nach der Transaktion. “Transaktion ID”ist<br />
auch eine zufällige nartürliche Zahl und erzeugt <strong>für</strong> jede Transaktion.<br />
Tabelle “order”speichert die Informationen von bestellten Datum. zum Bespiel,<br />
“serial”, “customid”und “date”. “customid”ist abhängig von “serial”von<br />
Tabelle “cumsters”. “date”speichert Datum von erfolgreichen Transation.<br />
Tabelle “order detail”speichert die bestellte Informationen. zum Beispiel,<br />
“orderid”, “price”, und “productid”. dabei ist “orderid”ist abhängig von “customid”in<br />
Tabelle “order”.<br />
Tabelle “products”speicher die Informationen von verkäufte Produkte. zum<br />
Beispiel, “serial”, “name”und “price”. “serial”ist abhängig von “productid”in<br />
Tabelle “order detail”.
10 KAPITEL 2. E-COMMERCE UND ONLINE BEZAHLUNG
Kapitel 3<br />
Relevante Technologie über<br />
NFC<br />
Bei NFC handelt es sich um einen international anerkannten Standard <strong>für</strong> die<br />
einfache Übertragung von Informationen über kleine Distanzen. Diese Technik<br />
ermöglicht zwei mobilen Geräten die Kontaktaufnahme, die <strong>für</strong> Transaktionen<br />
wie die unmittelbare Zahlung verschiedener Produkte oder Dienstleistungen<br />
(beispielsweise <strong>für</strong> Tickets im ÖPNV) erforderlich sind.<br />
Bei vielen Kontrolle von Zugangsberechtigung zum Beispiel wie am<br />
Flughafen oder beim Zutritt <strong>für</strong> Firmen wird die RFID Technologie verwendet<br />
und wird somit den Benutzungskomfort erhöhen.<br />
3.1 NFC<br />
Die Near Field Communication (NFC) ist eine Short-Range RFID-Technologie,<br />
die bei 13,56 MHz Hochfrequenz-(HF)-Band genutzt und in der ISO 18092/EC-<br />
MA 340 beschrieben wird. Es wird als ein kontaktloses System druch ISO<br />
14443, ISO 15693 und FeliCa spezifiziert. [8]<br />
Für NFC gibt es drei Modes der Operation.<br />
• Card Emulation Mode kann die Funtionalität der bestehenden kontaktlosen<br />
Chipkarten ersetzen.<br />
• Reader Write Mode kann verwedet werden, um Information von NFC-<br />
Tags gelesen zu werden.<br />
• Im Peer-to-Peer-Mode ist ein direkter Nachrichtenaustausch aller<br />
beteiligten NFC-Geräte möglich.<br />
Die Struktur von Operation wie Bild 3.1 soll mobile Geräte mit einem Kontaktlosen<br />
Kommunikationskanal ausstatten.<br />
11
12 KAPITEL 3. RELEVANTE TECHNOLOGIE ÜBER NFC<br />
Abbildung 3.1: Die Struktur von Operation<br />
Type 1 ist auf Topaz von Broadcom Corporation, Typ 2 auf MIRARE<br />
Ultralight von NXP Semiconductors, Typ 3 auf Sony Felica konform mit der<br />
japanischen Basis Industriestandard, Typ 4 auf Tags nach ISO/IEC 14443 [7]<br />
3.1.1 Sicherheitsanalyse von NFC<br />
NFC ist eine transparente Technologie, die es ermöglicht, zwischen zwei oder<br />
mehreren da<strong>für</strong> kompatible Geräten eine Verbindung herzustellen, sobald sie<br />
sich in unmittelbarer Nähe befinden.<br />
Hierbei kommen zwei wesentliche Vorteile zum Vorschein: Einerseits einmal<br />
kann der Nutzer auf intensive Dateneingaben verzichten, andererseits profitiert<br />
er zudem von der Schnelligkeit und Sicherheit dieser Datenübertragungsform.<br />
Obwohl man <strong>für</strong> einen erfolgreichen Datenaustausch mindesten 4 Inches<br />
Abstand zwischen den Geräten benötigt, gibt es Schwachstellen in der Sicherheit<br />
der da<strong>für</strong> genutzten Applikationen. Unter all den bisher genutzten kontaktlosen<br />
Kommunikationsformen steht besonders die NFC-Technologie hin-
3.2. NFC-GELDKARTE 13<br />
sichtlich ihrer Sicherheitsstandards im Focus des Interesses. Denn sollten die zu<br />
übertragenen Informationen während des Transfers abgehört werden können,<br />
würde dem Missbrauch Tor und Tür öffnen. [9]<br />
Folgende drei Schwachstellen werden dargestellt:<br />
• Der Lauschangriff<br />
Die Radiofrequenzwellen (RF-Wave), die zur Kommunikation zweier<br />
NFC-Geräte genutzt werden, können mit einem handelsüblichen Radioscanner<br />
abgehört werden. Hier<strong>für</strong> bedarf es allerdings einen speziellen<br />
da<strong>für</strong> geeigneten Decoder und einer kompatiblen Antenne. Während beide<br />
NFC-Geräte Kontakt zueinander aufnehmen, indem eines im aktiven<br />
Modus sein Gegenüber im passiven Modus sucht, ist der Radioscanner in<br />
der Lage in einer Distanz von 10 m ihre Kommunikation protokollieren.<br />
Um einem solchen Angriff wirksam entgegentreten zu können, benötigt<br />
man einen sicheren Kommunikationskanal. [9]<br />
• Störung der Daten Integrität (Data corruption)<br />
(Angreifer stören eine Kommunikationskanal zwischen Sender und<br />
Empfänger Geräte durch eine geeignete Häufigkeit der Daten in einer<br />
richtiger Zeit. Das führt eine DoS und sendet falsche Daten an Empfänger<br />
Gerät. Angreifer kann durch Überprüfung des RF-Felds während der<br />
Transmission verhindert werden. [9]<br />
• Daten Modifikation<br />
Der Angreifer ist in der Lage, die gültigen Daten in der Übertragung<br />
zu identifizieren und eigenmächtig zu verändern. Diese Manipulation ist<br />
abhängig von ihrer Amplitude. Auch hiergegen wäre ein sichere Kommunikationskanal<br />
von großer Bedeutung. [9]<br />
• Datenmitschnitt<br />
Ein Angreifer antwortet Nachricht an Sender, bevor eine richtige<br />
Emfänger Nachricht an Sender zurück schickt.Sofern allerding die Datenübertragung<br />
extrem schnell und/oder speziell kodiert erfolgt, ist das<br />
Zeitfenster <strong>für</strong> einen Lauschangriff zu klein, <strong>für</strong> eine erfolgreiche Attacke.<br />
[9]<br />
3.2 NFC-Geldkarte<br />
Die Zahlungsfunktion via Geldkarte ist heute im Handel nicht mehr wegzudenken.<br />
Hierbei werden größere Summen meist per girocard (Lastschrift oder<br />
ec Cash) und kleinere Beträge meist per Smartcard direkt vor Ort bezahlt. [3]<br />
Eine Weiterentwicklung dieser Zahlart ist die kontaktlose Variante, die<br />
sowohl offline, als auch online ihre Anwendung findet. NFC-fähige Geldkarten
14 KAPITEL 3. RELEVANTE TECHNOLOGIE ÜBER NFC<br />
oder mittlerweile auch Smartphone sind in der Lage in einer kurzen Distanz<br />
von etwa 10 cm Transaktionsinformationen zu übertragen. Diese neue<br />
Zahlweise wird derzeit von zahlreichen Sparkassen unterstützt und schrittweise<br />
in die da<strong>für</strong> notwendige Technologie, ein immer aktiver mit NFC-Chip, in<br />
neue Bankkarten implementiert (Bild 3.2). Auf diese Weise sind Nutzer in<br />
der Lage ohne eine zusätzlich Legitimation mittels PIN-Eingabe oder Unterschrift<br />
gewünschte Zahlungen vorzunehmen. Von den hierbei 15 letzten erfolgten<br />
Transaktionen, die automatisch auf dem Chip selbst protokolliert werden,<br />
sind die letzten drei jederzeit unverschlüsselt einsehbar. Um einen potentiellen<br />
Missbrauch vorzubeugen, sind Zahlungen hierbei auf maximal 20 EUR pro<br />
Vorgang beschränkt. Bis 2015 sollen die Bankkarten aller Sparkassenkunden<br />
<strong>für</strong> NFC ausgetauscht worden sein. [1]<br />
Abbildung 3.2: NFC Chip von Sparkassen<br />
Datenschützer hingegen hegen große Bedenken gegen diesen neuen<br />
Trend, schnell und bequem Zahlungen zu tätigen. Die Tatsache, dass<br />
Zahlungsvorgänge keine Authentifizierung erfordern und die dabei ausgetauschten<br />
Daten ohne spezielle Zugriffsberechtigung abgerufen werden können<br />
bergen die große Gefahr, dass Unbefugte davon missbräuchlich Gebrauch<br />
machen könnten. [2] [3]<br />
3.3 NFC-Geräte<br />
Ein NFC-Gerät ist eine passives kontaktloses Token, das durch ein kontaktlosen<br />
Leser gelesen und weiterverabeitet werden kann.<br />
Alternativ kann ein NFC-Gerät auch als ein kontaktlose Token Leser gehandelt<br />
werden. NFC-Geräte können sich auch untereinander im “Peer-to-Peer-<br />
Modus”ansprechen. NFC ist keine neue Technologie. Sie wurde schon vor 10<br />
Jahre erfunden und wurde seit 2004 im NFC Forum gefördert. NFC steht<br />
in zahlreichen Studien auf der Welt im Mittelpunkt, aber ein großflächiger
3.3. NFC-GERÄTE 15<br />
Einsatz wurde aufgrund mangelnden Standards im NFC Aufbau und seinem<br />
Applikation Management verhindert.<br />
Dennoch wurden im Jahr 2011 zahlreiche NFC-fähige Smartphones,<br />
darunter auch das Nokia C7, RIM Blackberry 9900/9930 oder das Galaxy<br />
Nexus S hergestellt. Spätestens nachdem Google sich um eine Integration von<br />
NFC in seinem Google Wallet System bemühte, begann sich NFC zu einer<br />
Mainstream-Anwendung zu entwickeln, <strong>für</strong> die sich daraufhin noch weitere<br />
Zahlungssysteme interessierten.<br />
Es findet dabei sowohl “aktiv”als auch “passiv”Verwendung. Der passive<br />
Betrieb entspricht dem Betrieb von herkömmlichen kontaktlosen Systemen.<br />
Vom Token geht ein Signal aus, was der Leser verarbeitet, ähnlich einem<br />
Türschlosssystem. Interaktion findet hingegen im aktiven Modus statt. Die<br />
beiden Geräte tauschen sich im Peer-to-Peer-Modus Informationen aus und<br />
ermöglichen so eine Aktivität. In diesem aktiven Betrieb schaltet sich das<br />
Geräte ein, um RF-Feld zu übertragen. z. B. Gerät 1 schaltet das HF-Feld<br />
ein und überträgt Daten an Gerät 2, daraufhin schaltet Gerät 1 das HF-Feld<br />
wieder aus, während Gerät 2 es wieder einschaltet und somit erfolgt dann die<br />
Datenübertragung zu Gerät 1.<br />
Peer-to-Peer-Relay fanden bereits in früheren Veröffentlichungen Verwendung.<br />
Man geht davon aus, dass NFC seinen Einsatz in bestehenden kontaktlosen<br />
Anwendungen finden wird, wie z.B. bei Zahlungen, Ticketing,<br />
Zutrittskontrolle, Identifizierung und Logistik. NFC in Verbindung mit der<br />
zusätzlichen Funktionalität der Host-Plattform könnte auch zusätzliche Anwendungen<br />
ermöglichen, wie zum Beispiel einer der frühen Vorschläge mit<br />
NFC <strong>für</strong> schnelles Pairing zwischen Bluetooth-Geräten.<br />
Heute gibt es eine Reihe von NFC-fähigen Geräten, aber Handys gelten als<br />
Hauptinteresse in der Industrie. Es gibt zwei wesentliche Komponenten, die<br />
eine NFC-fähiges Handy-Plattform umfassen. [12]<br />
• Anwendung Execution Environment (AEE): Hier erfolgt die<br />
Datenspeicherung- und -verarbeitung <strong>für</strong> grundlegende Dienste im<br />
Mobiltelefon. [20]<br />
• Trusted Execution Environment (TEE): Die TEE wird in der Regel durch<br />
den Einsatz eines sicheren Element (SE) realisiert und ermöglicht daher<br />
eine stabile Datenspeicherung, Durchführung und Application Management.<br />
Beim SE handelt es sich um eine Smartcard, die Java Card 2.2.1<br />
Global Platform (Java Card Open Platform) wie auch ausgewählte ältere<br />
Produkte wie die Mifare Classic Emulation unterstützt. [20]
16 KAPITEL 3. RELEVANTE TECHNOLOGIE ÜBER NFC<br />
3.4 Secure Element (SE)<br />
Eine SE wird am häufigsten als eingebettetes Modul implementiert, d.h. es<br />
ist eine surface mounted-Modul und wird in das Telefon gelötet. Somit wird<br />
es zu einer Komponente auf der SIM-Karte (Universal / Subscriber Identity<br />
Module) integriert oder man nutzt einen Wechseldatenträger als sicheren<br />
Speicher-Token. [22]<br />
SE verfügen über die gleichen hohen Sicherheitsstandards wie regelmäßige<br />
Smartcards. Eine SE bietet sichere Lagerung, eine sichere Umgebung zur<br />
Ausführung und Hardware-basierte Unterstützung <strong>für</strong> kryptographische Operationen<br />
an. Sichere Element Chips werden gegen verschiedene Angriffe, die auf<br />
Manipulation der gespeicherten Daten und verarbeiteten Operationen zielen.<br />
[12]<br />
Eine ganz neue Fortentwicklung ist das Konzept eines “Soft-SE”, das<br />
man innerhalb des Handyanwendungsgebiets konzipieren kann. Die “Soft-<br />
SE”kann im Gegensatz zu früheren SE-Module, die <strong>für</strong> einen Fortentwicklung<br />
entriegelt werden mussten, einfach weiterentwickelt werden. Kommt allerdings<br />
eine Unlock-Anwendung <strong>für</strong> Entwicklungszwecke zum Einsatz, kann die Vertrauenswürdigkeit<br />
der Anwendung nicht mehr garantiert werden.<br />
Ein NFC Handy verwendet eine oder mehrere der folgenden SE Implementierungen:<br />
[9]<br />
• NFC-Controller (Low-Level-Stacks): Die NFC-Controller ermöglicht das<br />
physische Senden und Empfangen von Daten über die HF-Schnittstelle.<br />
• Die “Karte-Emulation-Stack”, der “Leser/Schreiber-Stack”und das<br />
“Peer-to-Peer-Stack”erlauben die Kommunikation zwischen dem Controller<br />
und dem AEE/TEE. Reader- und Peer-to-Peer-Operationen<br />
werden durch eine Applikation in einer AEE kontrolliert. Die Karte-<br />
Emulation durch eine Applikation in einer TEE. Abschliessend werden<br />
alle Komponenten in einer SE durchgeführt.<br />
Die NFC-Spezifikation und -Standards geben Entwickeler eine Sicherheitumgebung<br />
<strong>für</strong> Applikation mit Ausnahmen von Applikation Management,<br />
das auf SE basiert.<br />
3.5 NFC Relay Technik<br />
Die NFC Relay Technik ermöglicht das kontaktlose schnelle Bezahlen von<br />
Waren. Der ortsunabhängige Bestellvorgang beim Onlineeinkauf wird durch<br />
den ortsunabhängigen Bezahlungsvorgang mittels NFC sinnvoll ergänzt.
3.5. NFC RELAY TECHNIK 17<br />
3.5.1 Ortsabhängige Transaktion<br />
Für direkt vor Ort ausgwählte Waren, die vom Verkäufer in der Summe erfasst<br />
werden und deren Bezahlung ebenfalls durch das Einführen einer Geldkarte in<br />
ein da<strong>für</strong> bereit gestelltes Terminal (POS Maschine) lokal erfolgt (Supermarkt,<br />
Tankstellen u. v. a.) wird nicht zwingend der Einsatz der NFC Relay Technik<br />
vorausgesetzt.<br />
In Bild 3.3 wird eine solche ortsabhängige Transaktion per Geldkarte und<br />
Teminal im Detail dargestellt.<br />
Abbildung 3.3: Ortsabhängige Transaktion<br />
3.5.2 Online Transaktion<br />
Diese ortsabhängige Zahlungsweise ist allerdings <strong>für</strong> den Onlinehandel<br />
ungeeignet, da hierbei zwischen Verkäufer und Kunden meist große Distanzen<br />
liegen.<br />
Für diesen Handelsweg bedarf es eines neuen Zahlungssystems, das das<br />
physische Einführen einer Geldkarte mittels eines kontaktlosen Registrierung<br />
eines NFC-Chips simuliert. Hierbei können Medien wie Zahlungskarten oder<br />
spezielle NFC-Sticks als Chipträger-Sender dienen, die mit einem NFClesbaren<br />
Smartphone als Empfänger in Kontakt gebracht werden.<br />
Bild 3.4 zeigt die ortsunabhängige Zahlungsweise mit NFC Technik.<br />
Die ortsunabhängigen Zahlungsweise umfasst folgende vier wichtige Komponenten.:<br />
• Kunden-Geldkarte
18 KAPITEL 3. RELEVANTE TECHNOLOGIE ÜBER NFC<br />
Abbildung 3.4: Ortsunabhängige Transaktion<br />
• Kunden-Handy<br />
• Verkäufer-Handy<br />
• Verkäufer-Terminal<br />
Wie man Bild 3.4 entnehmen kann, lässt sich der Relay Prozess in drei<br />
Abschnitte aufteilen.<br />
Der im Medium integrierte <strong>für</strong> die Zahlung vorbereitete NFC-Chip des<br />
Kunden wird dank NFC-fähigen Smartphones erfasst.<br />
Zwei mit dem Internet verbundene Smartphones (Kunden Handy (links)<br />
und andere Verkäufer Handy (rechts)) dienen als Gateway <strong>für</strong> die Datenübertragung.<br />
Währendessen befindet sich das Kunden-Handy im Relay- und<br />
das Verkäufer-Handy im Proxy-Mode. Nach erfolgreichem Verbindungsaufbau<br />
werden die Kundendaten von der Geldkarte online an das Smartphone des<br />
Verkäufers übermittelt:<br />
TAG: 0x10 0x05 0x99 0xe8<br />
PCD: 0x00 0xa4 0x04 0x00 0x0e 0x32 0x50 0x41...<br />
TAG: 0x6f 0x25 0x84 0x0e 0x32 0x50 0x41 0x59...<br />
PCD: 0x00 0xa4 0x04 0x00 0x09 0xd2 0x76 0x00...<br />
TAG: 0x6f 0x18 0x84 0x09 0xd2 0x76 0x00 0x00...
3.5. NFC RELAY TECHNIK 19<br />
TAG: 0x10 0x05 0x99 0xe8<br />
PCD: 0x00 0xa4 0x04 0x00 0x0e 0x32 0x50 0x41...<br />
TAG: 0x6f 0x25 0x84 0x0e 0x32 0x50 0x41 0x59...<br />
PCD: 0x00 0xa4 0x04 0x00 0x09 0xd2 0x76 0x00...<br />
TAG: 0x6f 0x18 0x84 0x09 0xd2 0x76 0x00 0x00...<br />
TAG bedeuetet Relay von Credit Karte, und PCD bedeutet Relay von<br />
Reader. Die erste Zeile “TAG: 0x10 0x05 0x99 0xe8”ist die ID Nummer der<br />
Geldkarte.<br />
Sobald alle Informationen erfolgreich ausgetauscht wurden, wird dies dem<br />
Kunden im Display seines Handys bestätigt. Wie Bild 3.5 gezeigt.<br />
Abbildung 3.5: Transaktionsinformation auf Kunden Handy<br />
Auf diesem Bild 3.5 erhält man Einblick in die Zusammenfassung. Die<br />
Extra ID ist hierbei bei beiden Handelspartnern identisch.<br />
3.5.3 Entwicklungsbeschreibung<br />
Die NFC Relay Techink benutzt eine wichtige Android API von NFC, welche<br />
“android.nfc.tech.IsoDep”genannt wird. Sie bietet den Zugriff auf ISO-DEP<br />
(ISO 14443-4) Eigenschaften und I/O Operation auf Tag. [12]<br />
Die wichtige Operation von ISO-DEP I/O ist die Folgende:
20 KAPITEL 3. RELEVANTE TECHNOLOGIE ÜBER NFC<br />
t r a n s c e i v e ( byte [ ] ) ;<br />
Die Applikationen müssen ihre eigenen Protokoll-Stack auf der Oberseite des<br />
t r a n s c e i v e ( byte [ ] ) ;<br />
implementieren.<br />
p u b l i c byte [ ] t r a n s c e i v e ( byte [ ] data ){}<br />
Diese Funktion sendet ISO-DEP Daten auf den Tag und erhältet daraufhin eine<br />
Antwort. Hierbei müssen die Applikationen nur INF Payload senden: Die initiierenden<br />
und abschliessenden Indikatoren des Rahmen müssen hierbei nicht<br />
gleichzeitig übermittelt werden. Da das Payload durch<br />
t r a n s c e i v e ( byte [ ] ) ;<br />
automatisch fragmentiert und defragmentiert wird, müssen die Applikationen<br />
hier<strong>für</strong> nicht extra genutzt werden.<br />
Android System <strong>für</strong> NFC<br />
Auf die Registrierung eines NFC-Tags reagiert das Android-System mit einer<br />
entsprechenden Aktivität.<br />
Android selbst bietet hier<strong>für</strong> zwei Systeme an, um eine erfolgreiche NFC-<br />
Tag Verarbeitung zu ermöglichen:<br />
• Intent System<br />
• Fronded foreground dispath System<br />
In dieser <strong>Arbeit</strong> findet das Intent System Verwendung. Das Intent System<br />
überprüft die Intent filters aller Aktivitäten, bis die richtige Aktivität <strong>für</strong> das<br />
zu verarbeitete Tag gefunden wird.<br />
Intent System<br />
Intent System spezifiziert dabei drei verschiedene Prioritäten <strong>für</strong> Intent.<br />
• NDEF DISCOVERD<br />
• TEC DISCOVERED<br />
• TAG DISCOVERED<br />
Wenn ein NFC-Tag gefunden wurde, wird das Intent System gestartet.<br />
Das Bild 3.6 zeigt die drei verschiedene Prioritäten <strong>für</strong> Intent und zeigt<br />
auch wie diese drei unterschiedliche Intenten in einer Reihfolge laufen. [4]<br />
NDEF DISCOVERED hat dabei die höchste Priorität und wird auch wie<br />
folgt im AndroidMainfest.xml definiert:
3.5. NFC RELAY TECHNIK 21<br />
Abbildung 3.6: Intent System mit drei verschiedener Priorität<br />
1<br />
2 <br />
3 <br />
4 <br />
5 <br />
6 <br />
Das System ist in der Lage, die eingescannten Tag-Daten mit den<br />
definierten Daten<br />
<br />
auf ihre Richtigkeit hin automatisch zu überprüfen. Wenn beide Daten identisch<br />
sind, kann das Intent System NDEF gestartet werden und TEC und<br />
Tag werden abgeschlossen. Wenn beide Daten nicht identisch sind, wird Intent<br />
System TEC gestartet.<br />
NFC Tag Lesen<br />
Sobald ein NFC Tag in die Nähe eines NFC-Geräts gebracht wird, wird ein<br />
entsprechender Intent automatisch erstellt und der Tag verarbeitet.<br />
Durch die folgende Funktion wird das Lesen des NFC Tags ermöglicht:
22 KAPITEL 3. RELEVANTE TECHNOLOGIE ÜBER NFC<br />
1 p r i v a t e S t r i n g getTagInfo ( I n t e n t i n t e n t ) {<br />
2 Tag extraTag = i n t e n t . g e t P a r c e l a b l e E x t r a (<br />
NfcAdapter .EXTRA TAG) ;<br />
3 extraTag . getId ( ) ;<br />
4 S t r i n g [ ] t e c h L i s t = extraTag . getTechList ( ) ;<br />
5 . . .<br />
6 }<br />
Durch<br />
Tag extraTag = i n t e n t . g e t P a r c e l a b l e E x t r a ( NfcAdapter .EXTRA TAG) ;<br />
wird die Information von Tag erhalten. Durch<br />
getId ( ) ;<br />
kann man die ID von Geldkarte bekommen, wie Bild 3.5 gezeigt.<br />
3.5.4 Sicherheitsanalyse von NFC Relay<br />
Sicherheitsanalyse<br />
NFC birgt auch viele potentielle Risiken. Einer dieser so genannten Gefahren<br />
ist der Relay Attack. Hierbei wird eine auf Kurzdistanz initiierte Kontaktaufnahme<br />
zweier kommunizierender Geräte fingiert, während tatsächlich die Datenübertragung<br />
via Proxy in großer Entfernung erfolgt. [13]<br />
Obwohl das Application Layer Sicherheitsprotokolls auf stark kryptographischen<br />
Regeln aufgebaut wurde, kann es im NFC Relay Attack nachweislich<br />
umgangen werden. So zum Beispiel kann der Angreifer sich einfach um<br />
das Authentifizierungsprotokoll herumdrücken, dadurch dass er legitime Token<br />
einfach weiterleitet. Das dort angesprochene Token gibt die zu erwartende<br />
richtige Antwort wieder und kann selbst auch wiederum weitergeleitet werden.<br />
Hierbei ist es unwesentlich, ob es sich um Protokolle der Anwendungsschicht<br />
oder des Sicherheits Algorithmus handelt. Der Angreifer selbst muss hierbei<br />
keine Vorkenntnissse über die weitergeleiteten Daten haben, sondern stellt nur<br />
sicher, dass der Leser (Terminal) und der Token stets die zu erwartenden Werte<br />
erhält. [13]<br />
Bei einem solchen Überfall werden zwei Geräte, eins als Relay- und eins als<br />
Proxy-Modul verwendet. Mittels eines geeigneten Kommunikationskanal werden<br />
dann die Daten über eine lange Distanz hinweg übertragen. Man platziert<br />
den Proxy Modul nahe des Terminals, während das Relay Modul mit reale<br />
Geldkarte kommuniziert.<br />
Alle Informationen, die im Terminal gezeigt werden, stammen aus dem<br />
Proxy Modul und werden vom Relay Modul übertragen. Auf diese Weise
3.6. DER SPEZIFISCH ERWEITERTE RELAY ATTACK 23<br />
misslingt es dem Terminal, zwischen realer Geldkarte und Proxy Modul zu<br />
unterscheiden.<br />
Lösung<br />
Zwar vermögen kryptographische Protokolle den Relay Attack nicht zu verhindern,<br />
dennoch existieren einige Methoden, die den besagten Überfall abwehren<br />
können: [13]<br />
• Man kann die Karte der Radiofrequenz-Schnittstelle, bei<br />
vorübergehender Nichtnutzung mittels Abschirmung (Faradayischer<br />
Käfig) schützen.<br />
• Mittels einer zusätzliche Schaltung vermag man die Karte physikalisch<br />
ein- und auszuschalten.<br />
• Die Authentifizierung kann mittels eines PIN Codes extra geschützt werden.<br />
3.6 Der spezifisch erweiterte Relay Attack<br />
Bisher musste eine physikalische Nähe von weniger als einen Meter zum Angriffsgerät<br />
gegeben sein, um einen erfolgreichen Überfall zu gewährleisten.<br />
Das vollständige Relay System besteht aus den folgenden vier Teilen:<br />
• Ein Smartphone (mit Android System)<br />
• Eine Relay Software<br />
• Einen Card Emulator<br />
• Ein Reader Gerät<br />
Die Relay-Software wird auf dem Handy des Opfers installiert. Sie<br />
überträgt im Netzwerk APDU (Application Protocol Data Unit) zwischen SE<br />
und Card Emulator. Der Karte Emulator täuscht eine Kontaktlose Smartcard<br />
vor und fordert das Point of Sale Terminal zur Interaktion auf. [19]<br />
Alle APDU Befehle, die aus dem Point of Sale Terminal stammen, werden<br />
von dem Card Emulator über die Netzwerkschnittstelle zur Relay Software von<br />
Opfers übertragen, die diese wiederum dem Leser übergibt.<br />
Damit der Angreifer Zugang zum SE erhält, welche <strong>für</strong> eine erfolgreiche<br />
Kommunikation über das Netzwerk vorausgesetzt werden muss, muss zuvor<br />
die Relay Software auf dem Handy des Opfers installiert sein. Die da<strong>für</strong> erforderlichen<br />
Berechtigungen können entweder ausdrücklich oder mittels eines
24 KAPITEL 3. RELEVANTE TECHNOLOGIE ÜBER NFC<br />
Abbildung 3.7: Relay scenario 1<br />
Privilege-Escalation-Attack erhalten werden. Die Relay Anwendung empfängt<br />
die APDU-Befehle auf einem Netzwerk-Socklet und leitet es daraufhin dem<br />
sicheren Element zu. Die darauf folgenden Antworten werden ebenfalls an das<br />
Netzwerk-Socket übertragen.<br />
Der Card-Emulator täuscht mittels Software die physische Präsenz einer<br />
Smartcard vor. Der damit in Kontakt gebrachte Smartcard-Reader vermag<br />
diese Manipulation nicht zu unterscheiden. Alle APDU-Befehle werden hierbei<br />
zwischen Netzwerk-Socket und die Hardware des Emulator-RFID/NFC ausgetauscht.<br />
[20]<br />
Abbildung 3.8: Relay scenario 2<br />
Das Bild 3.8 zeigt den Verlauf der Smartkarte-Befehle (APDUs) zwischen<br />
dem Smartkarte-Reader und dem SE. Die Befehle APDUs (C-APDUs) aus Terminal<br />
werden durch den Card-Emulator oder via kabellosen Netzwerk an das<br />
Opel Geräte geroutet. Die Relay-Applikation tauscht dabei den Befehl APDUs<br />
(C-APDU) zum SE. Der Rückmeldungsbefehl wird durch das SE generiert und<br />
zum Terminal zurück ausgetauscht. [20]
Kapitel 4<br />
Relevante Technologie über<br />
QR-Code<br />
Im Online Zahlungssystem findet nicht nur NFC, sondern auch der QR-Code<br />
Verwendung. Die QR-Code Nutzung erspart uns das aufwendig manuelle korrekte<br />
Eingeben von Daten. Hier<strong>für</strong> nutzt man ein Java-fähiges Handy oder<br />
Smartphone, welches mit einer Kamera ausgestattet sein muss.<br />
Der QR-Code ist ein Matrix-Code, im Jahr 1994 in Tokio von der Toyota-<br />
Tochter Denso Wave entwickelt wurde. Damals sollte er dazu dienen, die Logistik<br />
bei der Produktion von Fahrzeugteilen zu optimieren. Doch erst vor kurzem<br />
erreichte diese Kodierungstechnologie im öffentlichen Bereich den wirklichen<br />
Durchbruch.<br />
Quick Response Codes oder QR-Codes, sind im industriellen Bereich<br />
während den letzten zehn Jahren zuvor schon Gang und Gebe gewesen. Sowohl<br />
im Marketing, in der Lagerverwaltung, als auch in der Fertigung nutzte man<br />
auch in Europa diese Technik.<br />
Die Lesbarkeit der damals eingesetzen eindimensionalen Barcodes fiel<br />
wesentlich geringer aus wie die der zweidimensionalen Barcodes. 1D-Barcodes<br />
sind sehr einfach strukturiert. Durch das Scannen der Linien und deren Abstände<br />
werden Informationen übertragen. 2D-Barcodes hingegen sind <strong>für</strong> das<br />
Auge nicht mehr einfach als Symbol erfassbar. Als ausschliesslich maschinenlesbare<br />
Zeichen sind sie allerdings hinsichtlich ihrer Lesetreffersicherheit den<br />
1D-Barcodes insoweit überlegen, dass ihr erfolgreicher Scanwinkel weitaus flexibel<br />
ist.<br />
QR-Codes sind zweidimensionale (2D)-Matrix-Barcodes, die 7.089 und<br />
4.296 alphanumerische Zeichen enthalten können. Abgesehen von ihrer praktisch<br />
überlegenen Benutzerfreundlichkeit ermöglichen sie ebenfalls mehr Daten<br />
aufzunehmen wie ihre Vorgänger, die 1D-Barcodes. Mit QR-Codes sind<br />
ebenfalls zahlreiche automatisierte Aktivitätsverknüpfungen (Browser, Telefonie,<br />
Messaging) möglich. Auch die Erstellung solcher QR-Codes ist mittels<br />
25
26 KAPITEL 4. RELEVANTE TECHNOLOGIE ÜBER QR-CODE<br />
passender Applikationen (QR-Code-Generatoren) denkbar einfach. [16]<br />
4.1 Grundlage der QR-Code<br />
Aufgrund ihrer hohen Lesegenauigkeit und dem damit verbundenen Komfort<br />
erfreuen sich QR-Codes großer Popularität. Das folgende Bild zeigt einen QR-<br />
Code, der <strong>für</strong> eine Transaktion bedeutende Daten enthält.<br />
Abbildung 4.1: QR-Code<br />
Ein vollständiger QR-Code besteht aus insgesamt 8 Elementen. [16]<br />
• Finder Pattern (1)<br />
• Begrenzungszeichen (2)<br />
• Zeitmuster (3)<br />
• Justierungsmuster (4)<br />
• Format Informationen (5)<br />
• Daten (6)<br />
• Fehlerkorrektur (7)<br />
• Restbits (8)
4.1. GRUNDLAGE DER QR-CODE 27<br />
Abbildung 4.2: Struktur von QR-Code<br />
Finder Pattern<br />
Das Finder Muster besteht aus drei identischen Strukturen, die sich in vier allen<br />
Ecken des QR-Codes mit Ausnahme des rechten unteren Abschnitts befinden.<br />
Jedes Muster wird auf einem 3x3-Matrix abgebildet, das aus schwarzen<br />
und weißen Modulen besteht, die sich gegenseitig umfassen und umschließen.<br />
(von schwarzen Modulen von weißen Module wieder schwarz Module umgeben<br />
basiert.) Die Finder Muster gestatten es der Decoder-Software die korrekte<br />
Ausrichtung zum Erfassen des QR-Codes zu bestimmen.<br />
Begrenzungszeichen<br />
Begrenzungszeichen heißt auch Seperator auf Englisch. Die weißen Begrenzungszeichen<br />
haben eine Breite von einem Pixel und verbessern Erkennbarkeit<br />
der Finder Muster, die inhaltlich und formal von den eigentlichen Daten getrennt<br />
sind.
28 KAPITEL 4. RELEVANTE TECHNOLOGIE ÜBER QR-CODE<br />
Zeitmuster<br />
Zeitmuster ist time patterns auf englisch. Die Decoder-Software nutzt die<br />
einzeln im Wechsel abgebildeten schwarzen und weißen Module dazu, die Breite<br />
eines jedes freistehenden Moduls zu bestimmen.<br />
Justierungsmuster<br />
Justierungsmuster ist alignment patterns auf englisch. Sollten moderate Bildverzerrungen<br />
die Erfassung beeinträchtigen, wirken Justierungsmuster als<br />
Kompensierung dieser Interferenz entgegen. QR-Codes haben ursprünglich<br />
keine Justierungsmuster, allerdings implementiert man solche bei zunehmender<br />
Größe des QR-Codes.<br />
Format Informationen<br />
Die Formation Informationen bestehen aus 15 Bits und befinden sich neben<br />
den Begrenzungszeichen. Sie speichern Daten über die Fehlerkorrektur Ebene<br />
des QR-Codes und über das ausgewählte Maskierungsmusters.<br />
Daten<br />
Die Daten werden in einen Bitstrom umgewandelt und in 8-Bit-Komponenten<br />
(genannt Codewörter) in dem Datenabschnitt gespeichert.<br />
Fehlerkorrektur<br />
Fehlerkorrektur-Codes werden ebenfalls als 8-Bit-Komponenten hinterlegt.<br />
Restbits<br />
Wenn die Daten- und Fehlerkorrektur-Bits nicht ohne einen Rest in 8-Bit-<br />
Komponenten aufgeteilt werden können, bleibt dieser Abschnitt bestehend aus<br />
leeren Bits.
4.2. DIE QR-CODE ERZEUGUNG 29<br />
QR-Codes enthalten Informationen sowohl in den vertikaler als auch in<br />
horizontaler Ausrichtung. Darin können verschiedene Datenarten gespeichert<br />
werden. In meinem Thesis werden Text (String) und Zahlen (Int) abgespeichert.<br />
• Text: Als Text können einfache Sätze oder ganze Textabsätze genutzt<br />
werden, wie beispielsweise Produktnamen.<br />
• Zahlen: Hier sind numerische Werte möglich, wie z.B. Transaktionsnummern<br />
oder Preise.<br />
4.2 Die QR-Code Erzeugung<br />
Das Generieren eines QR-Codes umfasst zwei Prozesse: die des Verschlüsselns<br />
und Codierens wie Bild 4.3. Mittels einer da<strong>für</strong> geeignete Applikation kann<br />
der Kunde durch einen kurzen Klick viele <strong>für</strong> die Transaktion bedeutende<br />
Informationen wie Produktname, Preis und Transaktion ID symbolisch und<br />
<strong>für</strong> das menschliche Auge nicht wahrnehmbar verschlüsseln.<br />
Abbildung 4.3: Die QR-Code Erzeugung<br />
In dieser <strong>Arbeit</strong> wird QR-Code durch google online erzeugt.<br />
””<br />
Wenn die Kunden auf Website einen QR-Code entdecken, können sie mit<br />
der Kamera eines Java-fähigen Handys oder Smartphones den Code, wie im<br />
folgenden Bild 4.4 dargestellt, einscannen.
30 KAPITEL 4. RELEVANTE TECHNOLOGIE ÜBER QR-CODE<br />
Abbildung 4.4: Decodierte Information von QR-Code<br />
4.3 QR-Code in Android<br />
4.3.1 Kamara Kontrollieren in Android<br />
Bevor ein Android-Smartphone einen QR-Code einscannt, muss dieses zuerst<br />
seine Kamera aktvieren. Durch Android API<br />
open ( i n t ) ;<br />
erhält man Kontrolle über die Kamerafunktion. Diese Funktion<br />
open ( i n t ) ;<br />
muss in<br />
p u b l i c void openDriver ( SurfaceHolder holder ) ;<br />
verwendet werden,<br />
openDrive ( SurfaceHolder holder ) ;<br />
startet den Kamera-Betrieb und initialisiert die Parameter der Hardware.<br />
1 p u b l i c void openDriver ( SurfaceHolder holder ) throws<br />
IOException {
4.3. QR-CODE IN ANDROID 31<br />
2 i f ( camera == n u l l ) {<br />
3 camera = Camera . open ( ) ;<br />
4 i f ( camera == n u l l ) {<br />
5 throw new IOException ( ) ;<br />
6 }<br />
7 camera . setPreviewDisplay ( holder ) ;<br />
8<br />
9 i f ( ! i n i t i a l i z e d ) {<br />
10 i n i t i a l i z e d = true ;<br />
11 configManager . initFromCameraParameters ( camera ) ;<br />
12 }<br />
13 configManager . setDesiredCameraParameters ( camera ) ;<br />
14 FlashlightManager . e n a b l e F l a s h l i g h t ( ) ;<br />
15 }<br />
16 }<br />
4.3.2 Decodiereung QR-Code in Android<br />
Nach dem erfolgreichen Scanvorgang muss das Smartphone die QR-Code decodieren:<br />
Mit der<br />
p u b l i c void handleDecode ( Result r e s u l t , Bitmap barcode ) ;<br />
Funktion wird der ausgelesene QR-Code entschlüsselt und der geheime Text<br />
ausgeben. Zum Schluss wird as Ergebnis auf Handy angezeigt.<br />
1 p u b l i c void handleDecode ( Result r e s u l t , Bitmap barcode )<br />
{<br />
2 i n a c t i v i t y T i m e r . onActivity ( ) ;<br />
3 playBeepSoundAndVibrate ( ) ;<br />
4 S t r i n g r e s u l t S t r i n g = r e s u l t . getText ( ) ;<br />
5 i f ( r e s u l t S t r i n g . e q u a l s<br />
(””) ) {<br />
6 Toast . makeText ( CaptureActivity .<br />
t h i s , ”Scan f a i l e d ! ” , Toast .<br />
LENGTH SHORT) . show ( ) ;<br />
7 } e l s e {<br />
8 I n t e n t r e s u l t I n t e n t = new I n t e n t<br />
( ) ;<br />
9 Bundle bundle = new Bundle ( ) ;<br />
10 bundle . putString (” r e s u l t ” ,<br />
r e s u l t S t r i n g ) ;<br />
11 r e s u l t I n t e n t . putExtras ( bundle ) ;
32 KAPITEL 4. RELEVANTE TECHNOLOGIE ÜBER QR-CODE<br />
12 t h i s . s e t R e s u l t (RESULT OK,<br />
r e s u l t I n t e n t ) ;<br />
13 }<br />
14 CaptureActivity . t h i s . f i n i s h ( ) ;<br />
15 }<br />
4.4 Sicherheitsanalyse von QR-Code<br />
Bevor ein Android Smartphone einen QR-Code erfassen kann, muss es seine<br />
Kamerafunktion aktiviert werden.<br />
Der QR-Code selbst gilt auch nicht als absolut sicher. Im September 2011<br />
entdeckt Kaspersky Lab ein first-of-its-kind bösartigen QR-Code. Hier wird<br />
der ahnungslose Nutzer auf eine Website weitergeleitet und startet unwissend<br />
zugleich einen riskanten Download. [14]<br />
Durch eine sorgfältige Prüfung der Transaktionsdaten kann dieses Risiko<br />
allerdings vermieden werden.<br />
4.5 Zusammenfassung<br />
NFC-Technologie und QR-Codes stellen zwei Schwerpunkte meiner Thesis dar.<br />
Beide Technologien finden heutzutage in der Online Bezahlung ihre Anwendung.<br />
Es folgt eine Analyse der Risiken und Probleme beide Kommunikationsformen,<br />
sowie Lösungsangebote.<br />
Da finanzielle Daten, die hierbei ausgetauscht werden, hoch sensible sind<br />
müssen diese gegen Missbrauch geschützt werden. QR-Codes sind hierbei<br />
sicherheitsanfälliger wie die NFC-Technologie.<br />
Benutzerberechtigungen, werden <strong>für</strong> die Kameranutzung zur Erfassung von<br />
QR-Codes vorausgesetzt. Hierbei besteht allerdings auch die Gefahr, dass weitere<br />
Daten zeitgleich beispielsweise GPS-Informationen, Browserverläufe o. a.<br />
ausgelesen werden und von betrügerischen Websites und Schadprogrammen<br />
missbraucht werden.<br />
Da man als Nutzer nie sicher sein kann, dass der angebotene QR-Code von<br />
einer vertrauenswürdigen Quelle entworfen wurde und somit auch die Zahl aller<br />
genehmigten Zugriffe bekannt sind, ist das Sicherheitsrisiko allgegenwärtig.<br />
Der komplexe Aufbau der NFC-Technologie erschwert es vergleichsweise<br />
Hackern eher, diese Kommunikationsform <strong>für</strong> Ihre Attacken zu missbrauchen.<br />
Zusammenfassend kann man die Sicherheitsrisiken im Umgang mit QR-<br />
Codes und Near Field Communication Technologie wie folgt auflisten: Datenmanipulation;<br />
Lauschangriff; Identitätsdiebstahl; Implementierung von Spy-
4.5. ZUSAMMENFASSUNG 33<br />
ware und Trackingcodes; erschlichene Zugangsparameter zu finanziellen und<br />
persönlichen Informationen.<br />
Die Sicherheitsvorkehrungen im Umgang mit der Möglichkeit der kontaktlosen<br />
Zahlungen ähneln sehr die des Kredikartenzahlungsverkehrs. Hier wurden<br />
bisher erfolgreiche Maßnahmen unternommen, um in sicheren Netzwerken,<br />
persönliche Daten vor Augen unbefugter Dritter zu schützen und unberechtigte<br />
Zugriffe durch hohe Authentifizierungskritierien zu verhindern.<br />
Wichtig ist es aber ebenfalls, dass der Verbraucher NFC implementierte Medien<br />
wie Zahlungskarten, Schlüsselanhänger oder ähnliches niemals unbeaufsichtigt<br />
Dritten zur Verfügung stellt.<br />
Wenn ein Missbrauch von Dritten stattfindet, verhindert immer ein PIN<br />
oder ein Passwort, dass persönliche Daten freigegeben werden.<br />
Ferner ist es ratsam, dass jeder Zugriff auf mobile Website, bei welchem<br />
persönliche Daten ausgetauscht werden, stets verschlüsselt erfolgt und man<br />
behutsam und sparsam mit Informationen über die eigene Identität auf unbekannten<br />
Geräten, Gebieten und in Gegenwart fremder QR-Codes umgeht.<br />
Begrenzen Sie die persönlichen Daten, die Sie auf ungesicherten oder unbekannte<br />
Gebiete teilen, die durch nicht identifizierte QR-Codes abgerufen<br />
können. [14]
34 KAPITEL 4. RELEVANTE TECHNOLOGIE ÜBER QR-CODE
Kapitel 5<br />
NFC Online Bezahlungssystem<br />
Im folgenden Abschnitt wird die NFC Mobile Transaktion und das Authentifizierung<br />
Protokoll genauer erläutert. Für eine gute Kommunikation zwischen<br />
Verkäufer und Kunden muss ein Transaktionsformat geschaffen werden, das ein<br />
sicheres Protokoll gewährleistet.<br />
Nach der Beschreibung der einzelnen Komponenten des Online<br />
Bezahlungssystems folgt eine Darstellung der Vorteile der ortsunabhängigen<br />
Zahlungsmöglichkeit. Durch die Kombination der NFC-Technologie mit der<br />
Nutzungsmöglich des QR-Codes, welcher eine schnelle und komfortable Informationseingabe<br />
verspricht, kann man einen hohen Bedienbarkeitskomfort <strong>für</strong><br />
jeden Käufer erzielen.<br />
5.1 Abschnitte des Online Zahlungssystems<br />
Das Online Zahlungssystem wie Bild 5.1 gezeigt läßt sich in folgende drei<br />
Abschnitte aufteilen:<br />
• 1.Abschnitt: Kunden-Station (<strong>für</strong> Kunden sichtbar)<br />
• 2.Abschnitt: Server-Station (unabhängige Station, als Kontrollinstanz<br />
zwischen Kunden und Verkäufer)<br />
• 3.Abschnitt: Verkäufer-Station (<strong>für</strong> Verkäufer sichtbar)<br />
5.1.1 1.Abschnitt (Kunden-Station)<br />
Hier kann der Kunde mittels Internetzugriff auf einer Website angebotenen<br />
Produkte zugreifen. Während des Auswahlprozesses werden die daraus resutltierenden<br />
Informationen mit einer vom Verkäufer im Hintergrund laufenden<br />
Datenbank (DB1) abgeglichen. Zeitnahe Änderungen des Warenbestands<br />
35
36 KAPITEL 5. NFC ONLINE BEZAHLUNGSSYSTEM<br />
Abbildung 5.1: Drei Abschnitte des Online Zahlungssystems<br />
lassen sich ebenfalls über die Datenbank im öffentlich sichtbaren Onlineshop<br />
des Verkäufers vornehmen.<br />
5.1.2 2.Abschnitt (Server-Station)<br />
Da in diesem Bereich alle Kontrollprozesse der Transaktion ausgeführt werden,<br />
stellt es den wichtigsten Teil des Online Zahlungssystems dar. Hier werden<br />
nicht nur die Kundeneingaben mit den Verkäufendaten synchronisiert (DB1),<br />
sondern auch alle richtigen Transaktionsinformationen (DB2) hinterlegt.<br />
Die Überprüfung der Information ist die wichtigste Funktion der zweiten<br />
Station. Ein eigenständiges PHP-Programm überprüft hier die Kunden- und<br />
Verkäuferdaten und ordnet jede Transaktion dem jeweiligen Kunden <strong>für</strong> eine<br />
erfolgreiche Zahlung zu.<br />
5.1.3 3.Abschnitt (Verkäufer-Station)<br />
Der Verkäufer erhält hier einen tabellarischen Überblick aller erfolgreich erfolgten<br />
Transaktionen (DB2) in Form einer <strong>für</strong> ihn intern einsehbaren Website.<br />
5.2 Kommunikationsprotokoll<br />
Für das Online Zahlungssystem wurde ein sicheres Kommunikationsprotokoll<br />
entwickelt, welches den Datenschutz der sensiblen Transaktionsinformationen<br />
gewährleisten soll. Hierbei wird die Transmission in drei Abschnitte<br />
untergliedert.[15]<br />
Das folgendes Bild 5.2 zeigt die Verlauf der Kommunikation.<br />
Wie im UML Diagramm gezeigt, kann das vollständige Kommunikationsprotokoll<br />
in drei Phasen aufgeteilt werden:
5.2. KOMMUNIKATIONSPROTOKOLL 37<br />
Abbildung 5.2: Bezahlungsprotokoll<br />
• 1.Phase<br />
Der Kunde scannt mittels seines Smartphone den QR-Code und<br />
überprüft im Anschluss die eingegebenen Bestellinformationen. Diesem<br />
Auftrag wird eine zufällig ausgewählte Transaktionsnummer zugeordnet.<br />
Alle Informationen werden in mehrere mit ID versehenen Datenpaketen<br />
verpackt und vom Smartphone des Kunden versandt.<br />
Der Inhalt eines jeden Datenpaket besteht aus:<br />
– Preis<br />
– Transaktionsnummer<br />
– Inhalt der bestellten Produkte<br />
Daraufhin erfolgt die Kodierung der Datenpakete.<br />
• 2.Phase<br />
Nachdem der Server die verschlüsselten Daten empfangen hat, überprüft<br />
dieser ausgewählte übertragenen Datenpakete und sendet draufhin diese<br />
erneut verschlüsselt an den Kunden zurück.
38 KAPITEL 5. NFC ONLINE BEZAHLUNGSSYSTEM<br />
• 3.Phase<br />
Der Kunde öffnet mittels seines öffentlichen Schlüssels die an ihn<br />
zurückgesandten kodierten Daten und überprüft erneut ihre Signatur.<br />
Daraufhin werden die Daten erneut an den Verkäufer geschickt, der auch<br />
die Signatur des Servers kontrolliert. Erst wenn Kunde und Verkäufer die<br />
Serversignaturen erfolgreich überprüft haben, wird der Zahlungsvorgang<br />
nach dem NFC-Relay fortgesetzt.
Kapitel 6<br />
Anwendung und<br />
Implementierung<br />
In diesem Abschnitt wird die Applikation selbst beschrieben. Sie wird <strong>für</strong> die<br />
Transaktion selbst benötigt und sorgt mit ihren Protokollen <strong>für</strong> den Datenaustausch<br />
zwischen den 3 beschriebenden Stationen.<br />
6.1 Applikationseigenschaften<br />
• Hoher Nutzungskomfort<br />
Dank weniger und schneller Bedienungsschritte ermöglicht dieses Programm<br />
bietet dieses Programm einen hohe Anwenderfreundlichkeit <strong>für</strong><br />
den Kunden, der online einkaufen will.<br />
• Sicherheit<br />
Dieses Programm bietet Sicherheitsstandards an, die die sensiblen Daten<br />
während der Transaktion vor Hackern schützt.<br />
6.2 Implementierung und Einleitung der Applikation<br />
Die Applikation NFC ePayment wurde in Java programmiert um eine sichere<br />
und einfache Online Zahlung zu ermöglichen. Ihre Grundfunktionen lassen sich<br />
wie folgt zusammenfassen:<br />
• Erfassung des QR-Codes, der der die Informationen über Produkte,<br />
Preise und TransaktionsID enthält.<br />
• Übertragung der eingescannten Daten via mobilem Netzwerk an deren<br />
Server (Technisch realisiert mit WebView von Android).<br />
39
40 KAPITEL 6. ANWENDUNG UND IMPLEMENTIERUNG<br />
• Registrierung der NFC-unterstützten Geldkarte des Kunden und mobiler<br />
Verbindungsaufbau zum Handy des Verkäufers.<br />
• Prüfung aller eingehender Informationen und gegebenfalls Freigabe der<br />
Zahlungsanforderung.<br />
Im Online Shop offeriert der Verkäufer seinen Kunden seine Produkte. Dort<br />
können Kaufinteressenten ihre Artikel auswählen und sie im Warenkorb ablegen.<br />
Dann kann der Kunde durch einen Button namens “QR Code Producer”,<br />
den gesamten Warenkorbauswahl in einen sicheren QR-Code zusammenfassen.<br />
Neben diesen offenen Informationen ist allerdings ebenfalls eine Transaktions<br />
ID enthalten. Dann startet der Kunde seine Smartphone Applikation und scannt<br />
diesen angezeigten QR-Code ein. Als Feedback erhält er das folgende Bild<br />
6.1.<br />
Abbildung 6.1: Bestellungsinformation und QR-Code
6.2. IMPLEMENTIERUNG UND EINLEITUNG DER APPLIKATION 41<br />
6.2.1 Start der Applikation<br />
Die Applikation “NFC ePayment”, wie Bild 6.2 zeigt, wird auf dem Smartphone<br />
initialisiert.<br />
Abbildung 6.2: NFC ePayment<br />
Nachdem innerhalb der Softwareumgebung der Button “To the Software”angewählt<br />
wurde, wird das folgende Bild 6.3 ausgegeben:<br />
Abbildung 6.3: Go to Software
42 KAPITEL 6. ANWENDUNG UND IMPLEMENTIERUNG<br />
6.2.2 Erfassung des QR-Codes<br />
Um den entsprechenden QR-Code einscannen zu können, muss der Kunde<br />
“open camera”auswählen und die das Fotoobjektiv seines Smartphones auf den<br />
Computerbildschirm ausrichten. Im Anschluß ist der Kunde in der Lage, alle<br />
Eingaben nochmals zu überprüfen und den Zahlungsvorgang durch Betätigen<br />
des “To Scan your Bankcard”Buttons zu starten.<br />
Abbildung 6.4: Bestellungsinformation auf Handy<br />
6.2.3 Erfassung der Geldkarte<br />
Kunden- und Verkäufer-Handy werden online miteinander verbunden, so dass<br />
daraufhin die NFC-Geldkarte des Kunden eingescannt werden kann.<br />
6.2.4 Datenbank<br />
Alle verarbeiteten Kundeninformationen werden, wie hier Bild 6.5 abgebildet,<br />
in DB1 hinterlegt. Im Kapitel 2 wird näher, auch bildlich, auf die Struktur der<br />
verwendeten Datenbanken eingegangen.
6.2. IMPLEMENTIERUNG UND EINLEITUNG DER APPLIKATION 43<br />
Abbildung 6.5: Datenbank<br />
6.2.5 Erfolg Transaktion<br />
Erfolg Transaktion werden auch in Verkäufer Seite als Liest gezeigt. wie Bild<br />
6.6.<br />
Abbildung 6.6: Erfolg Transaktion, Rückmeldung
44 KAPITEL 6. ANWENDUNG UND IMPLEMENTIERUNG
Kapitel 7<br />
Sicherheitsanalyse von NFC<br />
Zahlungssystem<br />
Ein funktionsfähiges NFC-Zahlungssystem umfasst wie bereits erwähnt 3 Abschnitte.<br />
Die einzelnen Stationen arbeiten voneinander autark, so dass sie nicht<br />
in der Lage sind, die zu empfangenen Daten auf ihre Authentizität hin zu<br />
überprüfen.<br />
7.1 Die sicherheitstechnischen Bedenken<br />
Die sicherheitstechnischen Bedenken lassen sich wie folgt zusammenfassen:<br />
• Während der Kunde die Auswahl seiner Waren mittels eines QR-Codes<br />
umsetzt, muss er sich dessen Vertrauenswürdigkeit sicher sein können.<br />
Anderensfalls würde er durch dessen Registrierung softwarebasierten<br />
Trojanern und Viren Tor und Tür öffnen, ohne sich dessen überhaupt bewusst<br />
sein zu können. Ferner kann eine darauf anschließende Umleitung<br />
zur Händleradresse auch abgezweigt werden und sensible Kundendaten<br />
dann Betrügern in die Hände fallen übertragen werden.<br />
• Bei der Registierung der NFC-Kartenmediums, die keinerlei Authentifizierung<br />
erfordert, können ebenfalls Kundendaten von Dritten unbemerkt<br />
abgerufen werden. Mit dem entsprechenden Equipment ist man<br />
hierbei nicht mal mehr auf die Kurzdistanz angewiesen und man kann<br />
aus relativ weiter Entfernung einen Zugriff auf dem Medium hinterlegten<br />
Daten erhalten.<br />
• Auch via Near Field Communication ist es möglich Schadsoftware in<br />
Umlauf zu bringen. Hierzu genügt es, den beispielsweise in einem Plakat<br />
angepriesenen Original-Chip mit einem infizierten Klebe-Tag zu versehen,<br />
somit vor dem Kunden abzuschirmen. Die im Fälschungs-Chip<br />
45
46KAPITEL 7. SICHERHEITSANALYSE VON NFC ZAHLUNGSSYSTEM<br />
implimentierten Daten können im Smartphone Programme (Malware)<br />
unbemerkt installieren und aktivieren, die zum kriminellen Zweck dann<br />
genutzt werden.[23]<br />
7.2 Mögliche Maßnahmen<br />
Mögliche Maßnahmen zur Vermeidung der oben genannten Sicherheitsrisiken:<br />
7.2.1 Gefahrenherd: Kunden-Station<br />
• Die Nutzung einer sicheren Verschlüsselung aller auszutauschenden Informationen<br />
würde einen Datendiebstahl erheblich erschweren.<br />
• Eine RFID NFC Schutzhülle kann den ungenehmigten externen Datenzugriff<br />
auf das NFC-Medium erfolgreich verhindern.<br />
• In einer sichere Ausführungsumgebung (Trusted Execution Environment<br />
- TEE) sorgt SE <strong>für</strong> eine sichere Datenspeicherung. Sie kann<br />
sowohl hardware-, also auch softwarebasiert realisiert werden. Da Letztere<br />
allerdings auch im AEE ausgeführt werden müsste, wäre sie daher<br />
gegen Angriffe weniger geschützt.<br />
7.2.2 Gefahrenherd: Datenübertragung<br />
Unverschlüsselte genutzte WLAN-Netzwerke können leicht von Dritten<br />
abgehört werden. Durch SSL Technologie kann man diese Problem vermeiden.<br />
SSL steht <strong>für</strong> Secure Socket Layer, SSL ist ein Protokoll, das der Authentisierung<br />
und Verschlüsselung von Internetverbindungen dient. SSL schiebt<br />
sich als eigene Schicht zwischen TCP und den Protokollen der Anwendungsund<br />
Darstellungsschicht. Ein typisches Beispiel <strong>für</strong> den Einsatz von SSL ist<br />
der gesicherte Abruf von vertraulichen Daten über HTTP und die gesicherte<br />
Übermittlung von vertraulichen Daten an den HTTP-Server. In der Regel<br />
geht es darum, die Echtheit des kontaktierten Servers durch ein Zertifikat zu<br />
garantieren und die Verbindung zwischen Client und Server zu verschlüsseln.[5]<br />
7.2.3 Gefahrenherd: Verkäufer-Station<br />
Ein möglicher Betrugsversuch könnte ebenfalls durch fingierte Kunden- und<br />
Zahlungsdaten während des Bestell- und Zahlungsvorgangs unternommen werden.<br />
Serverseitig könnten falsche Zahlungsvorgänge bestätigt werden oder aber<br />
die Zahlungsausführende hat nichts mit dem zu beliefernden Besteller zu tun,
7.2. MÖGLICHE MASSNAHMEN 47<br />
so dass trotz erfolgreicher Transaktion mit einem Zahlungsrückruf zu rechnen<br />
ist.<br />
Nachdem der Server alle ein- und ausgehenden Daten kontrolliert hat,<br />
muss der Verkäufer auch dazu berechtigt sein, den Kontakt mit dem<br />
zahlungsausführenden Bankensystem aufbauen zu können, um die vom Server<br />
übermittelten Informationen auf ihre Echtheit hin überprüfen zu können.
48KAPITEL 7. SICHERHEITSANALYSE VON NFC ZAHLUNGSSYSTEM
Kapitel 8<br />
Zusammenfassung<br />
Zentrales Thema dieser <strong>Arbeit</strong> ist das onlinebasierte Zahlungssystem. Hier<strong>für</strong><br />
wird inhaltlich und technisch auf den Aufbau eines Onlineshops, den NFCgestützten<br />
Dialog zwischen den beteiligten mobilen Endgeräten, das Kommunikationsprotokoll<br />
des Zahlungssystem und die Entwicklung einer dazu<br />
passenden Android-Applikation näher eingegangen. Besondere Beachtung wird<br />
hierbei den Verfahrensweisen der Near Field Communication (NFC), deren<br />
dazu genutzen Relay Technik, sowie des QR-Codes gewidmet. Neben eine umfassenden<br />
Umschreibung erfolgt ebenso eine Analyse der sicherheitsrelevanten<br />
Aspekte und entsprechend daraus abgeleitete Entwicklungsvorschläge. Der<br />
Online-Shop fungiert als B2C-Medium zwischen Verkäufer und Kunde. Eine<br />
dazu passenden in SQL programmierten Datenbank gewährt dem Verkäufer<br />
und Kunden produktbezogene Modifikationenmöglichkeiten, die daraufhin dynamisch<br />
umgesetzt werden können. Somit weiss der Kunde, was noch verfügbar<br />
und der Verkäufer was ausgeliefert oder noch nachbestellt werden muss. Die<br />
Eingabe der <strong>für</strong> den Warenkorb ausgewählten Produkte wird durch das Einscannen<br />
eines da<strong>für</strong> generierten QR-Codes dem Kunden benutzerfreundlich<br />
erleichtert. Hierbei besitzt das Endgerät des Kunden mittels Android API<br />
die Fähigkeit die von googleweb erzeugten QR-Codes in eine entsprechende<br />
Bestellinformation zu dekodieren, die der Käufer abschliessend nochmals<br />
auf seinem Display überprüfen kann. Die Datenübertragung erfolgt hierbei<br />
anonymisiert servergestützt, um ein hohes Mass an Datenschutz sicherstellen<br />
zu können. Um potentielle Hackerangriffe vorzubeugen, wird das gesamte Kommunikationsprotokoll<br />
signaturbasierend verschlüsselt. Erst nach diesem erfolgreich<br />
ausgeführten Sicherheitsstandard erfolgt dann die eigentliche Zahlung.<br />
Hierbei ist Kunde und Verkäufer orts- und zeitunabhängig. Während des<br />
Zahlungsprozesses wird die Geldkarte des Kunden emuliert und es erfolgt daraufhin<br />
eine mobile Datenverbindung zum Verkäufer, um die entsprechende<br />
finanziellen Informationen erfolgreich austauschen zu können.<br />
Zwar erhöht die bereits oben erwähnte Dateneingabe via QR-Code Erfassung<br />
den Nutzungskomfort <strong>für</strong> den Kunden, allerdings muss man auch hier-<br />
49
50 KAPITEL 8. ZUSAMMENFASSUNG<br />
bei potentielle Sicherheitsrisiken im Vorfeld abschätzen und entgegenwirken:<br />
Der Nutzer kann aufgrund der ihm nicht mit dem Auge ersichtlichen symbolischen<br />
kodierten Informationen niemals Gewissheit über Menge und Art<br />
der übertragenen Daten haben. Auch der Einsatz der NFC-Technologie muss<br />
kritisch hinterfragt werden: Denn mittels der Relay Technik sind Angreifer<br />
in der Lage, dem Zahlungssystem die eigentlich auf kurze Distanz gedachte<br />
Präsenz einer Geldkarte selbst von Weitem vorzutäuschen. Ebenfalls besteht<br />
die Gefahr, dass Teile des Datenverkehrs im RF-Feld mitgeschnitten und<br />
daraufhin missbräuchlich weiter verwendet werden. Da<strong>für</strong> angepasste Sicherheitsanalysen<br />
sollen die soeben genannten Risiken beider Verwahrungsweisen<br />
gerecht werden. NFC-basierte Medien finden zunehmend immer weitere Anwendung<br />
und stehen damit im öffentlichen Interesse. Derzeit rüsten neben der<br />
Mobilfunkbranche auch zahlreiche Banken Zahlungskarten mit NFC aus, so<br />
dass diese <strong>Arbeit</strong> hier als ein wesentlichen Baustein <strong>für</strong> die fortführende Entwicklung<br />
dieser Verfahrensweise erachtet werden kann. [9]
Literaturverzeichnis<br />
[1] Kontaktlose nfc-karten und die angst vor google. Website, 2010. http:<br />
//www.pc-max.de/news/mobilfunk/sparkasse.<br />
[2] Sparkassen wollen einführung von nfc beschleunigen. Website, 2010. http:<br />
//www.pc-max.de/news/mobilfunk/sparkasse.<br />
[3] Datenschützer warnen vor sparkassen-karten. Website,<br />
2011. http://www.wiwo.de/technologie/digitale-welt/<br />
nfc-chips-datenschuetzer-warnen-vor-sparkassen-karten/<br />
6751072.html.<br />
[4] Nfc tag dispatch system in android. Website, 2012. http://ibadrinath.<br />
blogspot.de/2012/03/nfc-tag-dispatch-system-in-android.html.<br />
[5] Nfc: Wie sicher ist der kontaktlose datenaustausch? Website, 2012.<br />
[6] Kathleen Kaye Acosta. Online Payment Process. Preprint 5, University of<br />
Cambridge, Computer Laboratory JJ Thomson Avenue, Cambridge CB3<br />
0FD, UK, January 2009.<br />
[7] Simon Burkard. Identification cards — Contactless integrated circuit(s)<br />
cards — Proximity cards — Part 4:Transmission protocol. Technical report,<br />
INTERNATIONAL STANDARD.<br />
[8] Simon Burkard. Near Field Communication in Smartphones. Technical<br />
report, Dep. of Telecommunication Systems, Service-centric Networking<br />
Berlin Institute of Technology, Germany.<br />
[9] Dolgorsuren Byambajav. SECURE NFC ENABLED MOBILE<br />
PHONE PAYMENTS USING ELLIPTIC CURVE CRYPTOGRAPHY<br />
(SNFCMP). Technical report, August 2011.<br />
[10] Peter Stamm Franz Büllingen. Mobile Commerce via Smartphone Analyse<br />
und Prognose des zukünftigen Marktes aus Nutzerperspektive . Technical<br />
report, WIK Wissenschaftliches Institut <strong>für</strong> Infrastruktur und Kommunikationsdienste<br />
GmbH, November 2012.<br />
51
52 LITERATURVERZEICHNIS<br />
[11] Marko Gargenta. Learing Android. OREILLY.<br />
[12] Gerhard Hancke. A Practical Relay Attack on ISO 14443 Proximity Cards.<br />
Preprint 5, University of Cambridge, Computer Laboratory JJ Thomson<br />
Avenue, Cambridge CB3 0FD, UK, January 2005.<br />
[13] Keith Mayes Konstantinos Markantonakis Lishoy Francis, Gerhard<br />
Hancke. Practical Relay Attack on Contactless Transactions by Using<br />
NFC Mobile Phones. Preprint 5, Information Security Group, Smart<br />
Card Centre Royal Holloway University of London, January 2010.<br />
[14] Juan de Dios Sanchez-Lopez Elitania Jimenez-Garcia Christian Navarro-<br />
Cota Mabel Vazquez-Briseno, Francisco I. Hirata* and Juan Ivan Nieto-<br />
Hipolito. Using RFID/NFC and QR-Code in Mobile Phones to Link the<br />
Physical and the Digital World. Technical report, Autonomous University<br />
of Baja California.<br />
[15] Nuno Fuentecilla Maia Ferreira Neves Norman Sadeh. NFC AND<br />
MOBILE PAYMENTS TODAY. Preprint 5, MESTRADO EM<br />
SEGURANÇA INFORMÁTICA, November 2011.<br />
[16] Martin Mulazzani Lindsay Munroe Sebastian Schrittwieser-Mayank Sinha<br />
Edgar Weippl Peter Kieseberg, Manuel Leithner. QR Code Security.<br />
Preprint 5, QR Code Security, February 1998.<br />
[17] Martin Wiedmann Prof. Dr. Manfred Kirchgeorg. B2C Trendstudie: Perspektiven,<br />
Potenziale und Positionierung von Publikumsmessen. Technical<br />
report, <strong>Lehrstuhl</strong> <strong>für</strong> Marketingmanagement der HHL Leipzig Graduate<br />
School of Management.<br />
[18] Ulrich Riehm. E-Commerce Begriff, Geschichte, aktueller Stand und Ausblick<br />
. Technical report.<br />
[19] Michael Roland. Software Card Emulation in NFC-enabled Mobile<br />
Phones: Great Advantage or Security Nightmare? Technical report, University<br />
of Applied Sciences Upper Austria.<br />
[20] Michael Roland. Applying recent secure element relay attack scenarios to<br />
the real world Google Wallet Relay Attack. Technical report, University<br />
of Applied Sciences Upper Austria, March 2013.<br />
[21] Svenja Hagenhoff Stefan Christmann. Mobiles Internet im Business-to-<br />
Business- Bereich - Eine Fallstudienuntersuchung. Technical report, <strong>Arbeit</strong>sbericht<br />
des Instituts <strong>für</strong> Wirtschaftsinformatik.
LITERATURVERZEICHNIS 53<br />
[22] THOMAS ZEFFERER. SECURE ELEMENTS AM BEISPIEL<br />
GOOGLE WALLET. Technical report, Zentrum <strong>für</strong> sichere Informationstechnologie<br />
– Austria.<br />
[23] Thomas Zefferer. NFC-Basierter Zahlungssysteme. Technical report, Zentrum<br />
<strong>für</strong> sichere Informationstechnologie – Austria, August 2012.
54 LITERATURVERZEICHNIS
Selbständigkeitserklärung<br />
Hiermit versichere ich, dass ich die vorliegende <strong>Master</strong>arbeit selbständig und<br />
nur mit den angegebenen Hilfsmitteln angefertigt habe und dass alle Stellen,<br />
die dem Wortlaut oder dem Sinne nach anderen Werken entnommen sind,<br />
durch Angaben von Quellen als Entlehnung kenntlich gemacht worden sind.<br />
Diese <strong>Master</strong>arbeit wurde in gleicher oder ähnlicher Form in keinem anderen<br />
Studiengang als Prüfungsleistung vorgelegt.<br />
Ort, Datum<br />
Unterschrift