Download - Vortrag Diplomarbeit

Transcript
  • 7/30/2019 Vortrag Diplomarbeit

    1/29

    Peer-to-Peer Payment via NFC

    Stefan Gfrrer

  • 7/30/2019 Vortrag Diplomarbeit

    2/29

    2

    Gliederung

    Motivation Mobile Payment

    eKaayCash

    Analyse

  • 7/30/2019 Vortrag Diplomarbeit

    3/29

    3

    Motivation

    Alternative zu Bargeld Bereits einseitig mit Karten und Handys

    Sicherheit wichtig

    Bildquelle: wikimedia.org

  • 7/30/2019 Vortrag Diplomarbeit

    4/29

    4

    Mobile Payment

    Definition: mobiles, elektronisches Bezahlen Typen:

    Konto basiert

    E-Wallet Peer-to-Peer (P2P)

    Zahlender Geldempfnger

    Geldempfnger Zahlender

  • 7/30/2019 Vortrag Diplomarbeit

    5/29

    5

    eKaayCash

    Ziele: P2P Bezahlsystem

    Einfache Bedienung

    Sicher Framework simple Umsetzung

    Kompatibel

  • 7/30/2019 Vortrag Diplomarbeit

    6/29

    6

    eKaayCash

    Ansatz: Konto basiert

    eKaay TAN

    Zahlender: Matthias

    Empfnger: StefanBetrag: 10 Euro

    Nonce

  • 7/30/2019 Vortrag Diplomarbeit

    7/29

    7

    eKaayCash

    Ablauf

    Geldempfnger

    Server der Bank

    Betrag: 10 Euro

    Bildquelle: wikimedia.org

  • 7/30/2019 Vortrag Diplomarbeit

    8/29

  • 7/30/2019 Vortrag Diplomarbeit

    9/29

    9

    eKaayCash

    Ablauf

    Zahlender

  • 7/30/2019 Vortrag Diplomarbeit

    10/29

    10

    eKaayCash

    Ablauf

    Zahlender

    Server der Bank

    Signierte Transaktion

  • 7/30/2019 Vortrag Diplomarbeit

    11/29

    11

    eKaayCash

    Erweiterungen: PIN Abfrage

    Erweiterung fr Shops

  • 7/30/2019 Vortrag Diplomarbeit

    12/29

    12

    Analyse

    Angriffe: Schadprogramme

    Kommunikationskanle

    Physischer Zugriff Social Engineering

  • 7/30/2019 Vortrag Diplomarbeit

    13/29

    13

    Analyse

    eKaayCash Austausch der Transaktion vor Besttigung

    Mallory

  • 7/30/2019 Vortrag Diplomarbeit

    14/29

    14

    Analyse

    eKaayCash Physischer Zugriff

    PIN?

  • 7/30/2019 Vortrag Diplomarbeit

    15/29

    15

    Analyse

    eKaayCash Social Engineering

    Logindaten, ja...

    ...aber ohne Smartphone ohne nutzen

  • 7/30/2019 Vortrag Diplomarbeit

    16/29

    16

    Analyse

    eKaayCash Fazit:

    Zahlender muss IMMER kontrollieren

    PIN Abfrage empfehlenswert

    Social Engineering keine (wesentliche) Gefahr

  • 7/30/2019 Vortrag Diplomarbeit

    17/29

    17

    Analyse

    Google wallet Kreditkarte auf Smartphone

    Bezahlung an Terminal

    Secure Element

    Bildquelle: google.com

  • 7/30/2019 Vortrag Diplomarbeit

    18/29

    18

    Analyse

    Google wallet Nicht mglich

    Kommunikation nur mit Terminal

    Social Engineering

  • 7/30/2019 Vortrag Diplomarbeit

    19/29

    19

    Analyse

    Google wallet Aber

    Secure Element nur teils genutzt

    Informationen in Datenbank

    PIN auslesbar

    Bildquelle: viaforensics.com

  • 7/30/2019 Vortrag Diplomarbeit

    20/29

    20

    Analyse

    Google wallet Fazit:

    Theoretisch hoher Schutz

    Rechtliche Situation verhindert Schutz

  • 7/30/2019 Vortrag Diplomarbeit

    21/29

    21

    Analyse

    Ergebnisse

  • 7/30/2019 Vortrag Diplomarbeit

    22/29

    22

    Fazit

    Einfache, sichere Bezahlsysteme mglich Gemeinsame Probleme

    Kombinierte Angriffe

    Restrisiko

  • 7/30/2019 Vortrag Diplomarbeit

    23/29

    23

    Schluss

    Danke fr die Aufmerksamkeit!

    Fragen?

  • 7/30/2019 Vortrag Diplomarbeit

    24/29

    24

  • 7/30/2019 Vortrag Diplomarbeit

    25/29

    25

    Analyse

    PayPal Mobile Payments App fr PayPal

    P2P mit Android und NFC

  • 7/30/2019 Vortrag Diplomarbeit

    26/29

    26

    Analyse

    PayPal Mobile Payments Ablauf

  • 7/30/2019 Vortrag Diplomarbeit

    27/29

    27

    Analyse

    PayPal Mobile Payments Manipulation der Zahlungsanfrage

    A l

  • 7/30/2019 Vortrag Diplomarbeit

    28/29

    28

    Analyse

    PayPal Mobile Payments Anmeldedaten und PIN Diebstahl

    Mglichkeiten:

    Schadprogramm

    Social Engineering

    Schutz:

    Bindung App an Mobilfunknummer

    Aber: Onlinezugang angreifbarer

    A l

  • 7/30/2019 Vortrag Diplomarbeit

    29/29

    29

    Analyse

    PayPal Mobile Payments Fazit:

    Zahlender muss IMMER kontrollieren

    PayPal gefhrdet