Apple Pay mit Banktrick hackbar
Angreifern könnte es gelingen, Apples kontaktlosen Bezahldienst mit geklauten Kreditkarten zu nutzen. Schuld daran ist allerdings nicht Apple, sondern sind die kartenausgebenden Banken.
Apple Pay ist weiterhin sicher – wenn die Banken aufpassen.
(Bild: dpa, Monica Davey)
Apple Pay läuft in den USA, dem bislang einzigen von Apple offiziell zugelassenen Markt, sehr gut: Der kontaktlose Bezahldienst, der sich mit iPhone 6 und 6 Plus nutzen lässt, steht bei immer mehr Akzeptanzstellen bereit und wird laut Aussagen von Apple-Chef Tim Cook auch ordentlich benutzt. So sollen im vorigen Quartal bei NFC-Zahlungen in den USA zwei von drei US-Dollar über Apple Pay erledigt worden sein – kontaktlose Kreditkarten miteingerechnet. Zuletzt kündigte ein US-Dienstleister an, dass die Kunden künftig an 200.000 Automaten in den USA mit Apple Pay zahlen könnten.
Bislang war es Angreifern noch nicht geglückt, Apples Bezahldienst, der unter anderem durch den integrierten Fingerabdrucksensor der Geräte (Touch ID), ein "Secure Element" sowie eine reine Token-Übertragung per NFC geschützt ist, zu hacken. Wie das Sicherheitsunternehmen Drop Labs nun berichtet, gibt es aber dennoch eine Angriffsmöglichkeit.
Die Bank ist das Problem
Die liegt nicht bei Apple oder dem iPhone 6 / 6 Plus, sondern bei den kartenausgebenden Banken. Um eine Kreditkarte mit Apple Pay zu nutzen, muss diese zunächst auf dem Gerät angelegt werden. Apple macht das recht einfach, so kann der Kunde die Karte sogar abfotografieren. Anschließend ist ein Verifikationsschritt notwendig, damit sichergestellt ist, dass der Nutzer nicht einfach eine geklaute Karte verwendet.
Und genau hier gibt es laut Drop Labs Probleme. So verlangt manche Bank nur einen Anruf in einem Callcenter und fragt dabei Daten ab, die auch ein Dieb besitzen könne. Ist die Karte einmal auf dem Gerät, kann der Ganove Apple Pay ganz normal einsetzen – mit seinem eigenen Fingerabdruck.
Verifikationslücke
Es ist unklar, wie viele Banken so vorgehen und ob das Problem bereits "in the wild" gesichtet wurde. Tatsache ist aber, dass der Handel mit geklauten Kartendaten mittlerweile häufig auch weitere Informationen zum Kartenbesitzer einschließt, die für die Kartenverifikation laut Drop Labs ausreichen könnten.
Eine sichere Alternative besteht längst: So nutzen Banken auch ihre eigene App oder ihre Website zur Verifikation einer bei Apple Pay hinterlegten Karte. Für diese werden dann eigene Zugangsdaten benötigt, die bestenfalls per Zwei-Faktor-Authentifizierung geschützt sein sollten. (bsc)
