Sicherheitsforscher: Apple Pay ist partiell unsicher, hohe Abbuchungen von gestohlenen und gesperrten Geräten möglich
Bei Apple Pay handelt es sich um ein in Deutschland 2018 und in Österreich im Folgejahr gestarteten Zahlungssystem, welches Zahlungen ohne Bankkarte möglich macht. Konkret setzt Apple dafür auf die NFC-Kommunikation. Unterwegs kann Apple Pay durch einfaches Vorhalten des Smartphones an ein Zahlungsterminal genutzt werden.
Dabei ist die Technik im Vergleich zur Nutzung von Bargeld komfortabel, soll aber im Vergleich zur Nutzung einer üblichen Kredit- oder Debitkarte auch ein erhöhtes Maß an Sicherheit bieten. Zum einen werden die Details zum Konto nicht mit dem Händler mitgeteilt, sondern es wird lediglich eine Pseudo-Kreditkartennummer übertragen. Zum anderen erfordert die Nutzung von Apple Pay eine Authentifizierung etwa über den eigenen Fingerabdruck oder Face ID. Diese Hürde dürfte etwa von Dieben schwerer zu meistern sein als eine Pin oder eine gefälschte Unterschrift bei der Zahlung per Lastschrift.
Sicherheitsforschern zufolge ist Apple Pay allerdings unter - wohlgemerkt recht speziellen Bedingungen - drahtlos angreifbar. Problematisch ist dabei das sogenannte Express Transit-Feature, welches beispielsweise im Londoner Nahverkehr die Zahlung von Fahrkarten durch das Anhalten an ein entsprechendes Terminal erlaubt - und zwar ohne, dass das Smartphone wie sonst üblich entsperrt werden muss.
Laut der BBC konnten die Sicherheitsforscher mit einem speziellen Versuchsaufbau unter Ausnutzung der Funktion 1.000 Pfund erbeuten. Der Aufbau umfasst ein kommerziell erhältliche Funkmodul, welches das iPhone glauben lässt, sich in Nähe eines Ticketschalters zu befinden.
Ein Android-Smartphone mit einer speziellen Anwendung sendet die vom iPhone kommenden Signale gleichzeitig an ein drahtloses Zahlterminal. Eine spezielle Software lässt das Zahlterminal dann durch eine Modifizierung der Daten glauben, dass iPhone sei bereits entsperrt, wodurch eine hohe Abbuchung vorgenommen werden kann.
Apple gab gegenüber der BBC an, es handele sich um ein Problem des Zahlungsdienstleisters Visa. Visa selbst beruft sich auf die geringe Wahrscheinlichkeit eines solchen Angriffs, verweist allerdings gleichzeitig auf die Zero Liability Policy, nach derer Kunden niemals für unautorisierte Abbuchungen verantwortlich gemacht werden. Unter Nutzung einer Mastercard-Kreditkarte ist ein derartiger Angriff nicht möglich.
Wir erweitern unser Team und suchen News-Redakteure sowie Unterstützung für unsere Video-Produktion im Raum Hamburg.
Details