Tijdens de Defcon hackerconferentie heeft een beveiligingsonderzoeker gedemonstreerd hoe hij via een app creditcardgegevens op afstand kan uitlezen en gebruiken om betalingen mee te verrichten. De NFCProxy app kan zowel gegevens uitlezen als 'replayen'. Het gaat dan om contactloze betaalkaarten die over een ingebedde RFID-chip bezitten. Daarmee kunnen consumenten betalen door alleen de kaart in de buurt van een betaalautomaat te houden. Inmiddels zijn er meer dan 100 miljoen contactloze creditcards in omloop. De tool fungeert als een proxy voor RFID transacties
Onderzoeker Eddie Lee laat tegenover Forbes weten dat het hier niet om een nieuwe aanval gaat, maar dat de app vooral bedoeld is om de functionaliteit op eenvoudige wijze te misbruiken.
Smartphone
De broncode van de app is inmiddels online te vinden. Om NFCProxy te gebruiken moet een gebruiker zijn telefoon rooten en een specifieke versie van de Cyaogen mod installeren. Eerder dit jaar verscheen er een Cyanogen-versie waarmee het mogelijk was om een creditcardlezer te emuleren. Die feature werd later verwijderd omdat die met Google Wallet conflicteerde. De app zou echter ook in combinatie met een versie van Ice Cream Sandwich moeten werken.
Lee ontwikkelde zijn tool zodat opgevangen creditcardgegevens ook naar andere telefoons zijn te sturen, zodat het skimmen en misbruiken van het slachtoffer zijn rekening op verschillende locaties kan plaatsvinden. De onderzoeker stelt dat hij creditcarddiefstal niet in de hand wil werken, maar dat hij houders van contactloze creditcards voor het gevaar wil waarschuwen.
Bron: Security.nl