Kredittkort kan snart bli like gammeldagse som sjekker hvis mobilbransjen får viljen sin. De jobber nemlig for å gjøre mobilen til både betalingsmiddel, nøkkel og bussbillett – alt takket være teknologien som kalles NFC – Near Field Communication.
Teknologien gjør det mulig å betale bare ved å holde mobilen over kortleseren. Man trenger ingen kode.
- De ønsker å gjøre det lett og morsomt, men det er ikke nødvendigvis sikkert, sier hackeren Charlie Miller.
Denne uken holdt den kjente hackeren foredrag på Paranoia-konferansen i Oslo, der han viste hvordan teknologien kan åpne mobilen din for hackere.
Svært enkelt
Miller ble berømt da han hacket den første Iphonen, og han gikk grundig til verks med å undersøke svakheter i NFC. Månedslange romsteringer nede i teknologi-kjelleren ga imidlertid bare uklare resultater. Han konkluderte med at selve NFC-teknologien bør kunne gjøres sikker, fordi den er relativt enkel. Problemet er at man ønsker å gjøre bruken svært enkel, og at programmer derfor kan startes opp bare mobilen kommer i nærheten av en NFC-sender, uten at brukeren bekrefter at dette er greit.
- Jeg vil ikke at nettsider skal åpnes uten at jeg gjør noe, men de synes det er kult, sier Miller.
Miller demonstrerer hvordan han tar over en Android-mobil ved å la et NFC-merke sende den til en nettside med infisert kode. Vel inne fikk han kontroll over mobilen, og alt innholdet.
- Jeg synes det er galskap at du kan komme inn ved bare å komme i nærheten av mobilen, sier han.
En del av sikkerheten i NFC-teknologien ligger i at den kun fungerer på noen få centimetres avstand. Dette gjør hacking vanskeligere, mener Miller. Men det kan være mulig å komme nær folk på en full buss. Dessuten kan man tenke seg at hackere bytter ut ekte NFC-merker med sine egne, og at brukeren dermed får kapret mobilen mens de prøver å gjøre noe annet.
Slik hacking krever fremdeles at mobilen har sårbarheter, og den muligheten Miller benyttet er nå tettet av Google. Men Miller mener det stadig vil dukke opp nye sårbarheter, i nettlesere eller andre programmer NFC kan brukes til å åpne.
Sjanseløs
Miller mener det er spesielt problematisk at Android-telefonen han testet ikke ga brukeren noen mulighet til å kreve godkjenning fra brukeren. Så lenge du er innen 3-4 centimeter av en sender vil mobilen åpne det senderen ber om. Andre mobiler gir deg en slik mulighet, og selv om brukerne ofte kan bløffes mener Miller dette bør være en standardfunksjon.
- Det vil gi deg en sjanse. Nå har du ingen sjanse, sier han.
Toppsjefer på kaffé
Telenor og DNB startet i fjor et felles prøveprosjekt med NFC, og toppsjefene Jon Fredrik Baksaas Rune Bjerkehvor stilte opp for å demonstrere hvor enkelt man kan kjøpe en kopp kaffe med mobilen - helt kode og kontaktløst.
- Det er alltid veldig viktig å tenke på sikkerhet, og i utgangspunktet er en sånn mobiltelefon akkurat like sikker som et bankkort. Men det er viktig å tenke på beløpsgrenser, stengningspraksis og om du skal måtte slå mobilen på med en kode, sa DNB-sjef Rune Bjerke da.
Se videoen av Baksaas og Bjerke: Her betaler Bjerke og Baksaas med mobilen
Millers hack kan være et argument for at man alltid må bruke kode eller godkjenning for all NFC-bruk. Ellers risikerer man at hackere overtar mobilen, og da er det en smal trøst at beløpet man ville betale var lite.
Sikrere enn kredittkort
Miller understreker at han ikke synes det er noen dårlig ide å gjøre mobilen til lommebok.
- Man kan gjøre dette sikrere enn kredittkort. Jeg synes det er kult, men vi må ta oss tiden til å gjøre det riktig, oppfordrer han.
Han nevner mulige sikringstiltak som å gi brukeren detaljert informasjon om hva man er i ferd med å gjøre via NFC. Han tror også sms-bekreftelse av transaksjoner kan fungere.
- Dette er ikke et stort problem nå, fordi teknologien ikke er i utstrakt bruk. Men hvis alle hadde gått rundt og betalt med telefonen ville det være et stort problem, sier han.
Nylig gikk alle de stor i norsk mobilbransje sammen for å gjøre mobilen til ditt foretrukne betalingsmiddel. Les mer om dette her: Disse tre skal gi deg mobil lommebok (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.