Apple-Pay-Funktion erlaubt angeblich Geldklau von gesperrten iPhones

Sicherheitsexperten haben die Express-ÖPNV-Funktion auf Herz und Nieren getestet und kommen zu dem Schluss, dass unerwünschte Visa-Zahlungen möglich sind.

In Pocket speichern vorlesen Druckansicht 49 Kommentare lesen

Tappen und Geld verlieren?

Lesezeit: 3 Min.
Inhaltsverzeichnis

Ein eigentlich praktisches Feature in Apples NFC-Bezahldienst Apple Pay soll sich zum "Abziehen" größerer Geldsummen von VISA-Karten nutzen lassen. Das berichtet ein Team aus IT-Security-Spezialisten an den Universitäten von Birmingham und Surrey. Das Problem ist die sogenannte Express-Transit-Funktion, die auf Deutsch "Express ÖPNV" heißt. Sie aktiviert Kartenzahlungen auch dann, wenn das iPhone oder die Apple Watch gesperrt sind – in bestimmten Kontexten, die offenbar repliziert werden können.

In Städten wie London oder New York kann man mit Express ÖPNV die Ticketbarrieren durchschreiten, in dem man seine Apple-Hardware an die Lesegeräte hält. In London handelt es sich um einen Check-in/Check-out-Prozess: Von der Karte abgebucht wird dann die jeweilige Fahrstrecke. In New York zahlt man hingegen direkt, weil U-Bahn-Fahrten jeweils immer nur einen einheitlichen Preis haben.

Das Forscherteam schaffte es nun, ein Android-Telefon mit einer speziell entwickelten App zu nutzen, um einem iPhone-Benutzer bis zu 1000 britische Pfund über kontaktloses Visa-Bezahlen zu stehlen. Neben der App ist allerdings noch eine spezielle Funkhardware notwendig, die sich gegenüber dem iPhone oder der Apple Watch dann als Ticketbarriere ausgibt, um die Express-ÖPNV-Funktion überhaupt erst zu aktivieren.

Wie die Sicherheitsexperten gegenüber dem britischen Sender BBC weiter angaben, handelt es sich bei dem Problem um eine Schwäche in Visas Implementierung von Express ÖPNV. Auch Apple verwies die Verantwortung an den Kreditkartenriesen. Dort hieß es, das System sei weiterhin sicher, weil "diese Arten von Angriffen außerhalb des Labors nicht praktikabel" seien.

In Apples Stellungnahme heißt es, man nehme "jede Sicherheitsbedrohung sehr ernst". Visa glaube nicht, dass "diese Art von Betrug in der echten Welt wahrscheinlich" sei, da es "mehrere Sicherheitsschichten" gebe. Sollte eine solche Zahlung erfolgen, könnten Nutzer diese ablehnen. Kunden seien durch die Visa-"Zero Liability"-Politik geschützt.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Laut BBC wurden Apple und Visa bereits vor einem Jahr auf das Problem aufmerksam gemacht. Man habe "Variationen von kontaktlosen Betrugsversuchen" im Labor ausprobiert – "seit mehr als einer Dekade", so Visa. Eine gewisse technische Komplexität räumten auch die Forscher ein. Da die möglichen Betrugsgewinne hoch sind, lohne sich dies aber, hieß es weiter.

Nutzer können sich aktuell nur schützen, indem sie Express ÖPNV deaktivieren – dann muss das iPhone bei jedem Bezahlvorgang an einer Ticketbarriere per Face ID oder Touch ID entsperrt werden. Warum Visa bei kontaktlosen Bezahlungen über diese Methode nicht einfach einen Höchstbetrag setzt – für 1000 Pfund wird wohl kaum jemand U-Bahn fahren –, bleibt unklar. (bsc)