Verfahren bekannt aber aufwändig
Apple Pay: Abbuchung trotz gesperrtem iPhone möglich
Sicherheitsforscher zeigen eindrucksvoll, wie sich Apple Pay unter bestimmten Voraussetzungen manipulieren lässt. Als „Opfer“ haben sie sich den bekannten YouTuber Marques Brownlee ausgewählt, dessen gesperrtes iPhone in der Vorführung für mehrere nichtautorisierte Zahlungen genutzt wurde.
Dabei gelang es den Forschern nicht nur, einen kleinen Betrag zu buchen, obwohl das Smartphone nicht entsperrt wurde. Auch die deutlich höhere Summe von 10.000 Dollar wurde vom System akzeptiert, obwohl keine zusätzliche Bestätigung durch den iPhone-Besitzer erfolgte.
Funktioniert nicht mit allen Karten
Um dies zu bewerkstelligen, haben die Experten mehrere technische Eigenheiten des Bezahlverfahrens kombiniert. Dabei gilt jedoch, dass sich dies nicht mit allen Zahlungskarten umsetzen lässt. In der gezeigten Konstellation wird eine Kreditkarte von Visa verwendet. Andere Kartenanbieter nutzen wohl teilweise zusätzliche Prüfmechanismen, die einen solchen Angriff zumindest erschweren können.
Die Forscher manipulierten die drahtlose Kommunikation zwischen dem iPhone und dem Kartenleser. Dabei kommen zusätzliche Geräte und Software zum Einsatz, die sich zwischen die beiden Systeme schalten. Auf diesem Weg wird Apples Express-Modus für den öffentlichen Nahverkehr ausgetrickst. Diese Funktion erlaubt Zahlungen, ohne das Gerät zuvor zu entsperren. Durch die Manipulation wird es möglich, auf diesem Weg auch größere Beträge freizugeben.
Verfahren bekannt aber aufwändig
Die zugrundeliegende Schwachstelle ist bereits seit rund fünf Jahren bekannt. Bereits damals seien sowohl Apple als auch Visa über die Ergebnisse informiert worden. In Stellungnahmen hätten beide Unternehmen darauf verwiesen, dass ein Missbrauch im Alltag eher unwahrscheinlich sei. Visa verweist in diesem Zusammenhang zudem darauf, dass Karteninhaber für unautorisierte Zahlungen nicht haften müssten und entstandener Schaden ersetzt wird.
In der Praxis dürfte der Einsatz des gezeigten Betrugsverfahrens eher unwahrscheinlich sein, da der technische Aufwand hoch ist. Die Forscher wollen nach eigenen Angaben mit ihrer Demonstration zeigen, dass Sicherheitsmechanismen in komplexen Zahlungssystemen grundsätzlich umgangen werden können.
Oha
War nur eine Frage der Zeit. Bei den Kontaktlosen Karten geht das ja schon länger bis zu nem bestimmten Betrag meistens so 20-30€. Das hier ist aufwändiger aber dafür sind mehr Leute tendenziell betroffen. bei den NFC Karten kannst ja einfach nen Blocker in die Geldbörse packen um das zu erschweren bei nem Smartphone wirds schwierig zumindest wenn man noch ne Verbindung bekommen will.
Artikel gelesen und bisschen verstanden? Stichwort Express Modus für den öffentlichen Nahverkehr im Ausland…
Passt doch, was er kommentiert. Müsstest ja dein Handy in der Tasche abschirmen, um dem entgegenzuwirken, das ist bei Karten einfach machbar.
Die Funktion „Express-ÖPNV-Karte“ habe ich in New York gerne genutzt.
Damit musste das Handy nie entsperrt werden. Eigentlich klar, dass das eine Schwachstelle sein könnte. Aber man kann es ja jederzeit deaktivieren.
Bin mal gespannt, wie die Apple-Hater diese Nachricht jetzt ausnutzen werden…..
Same. Hab mir dabei auch nie Gedanken gemacht.
Funktioniert also nur, wenn die Funktion „Nahverkehrszahlen“ aktiviert ist um dann größere Summen als die vergebenen zu bezahlen? Sprich: Was bei den meisten sowieso abgeschaltet sein sollte?
Hier In Deutschland ohnehin. Ich wüsste nicht wo diese Funktion hierzulande klappen würde. Hier braucht man doch für jeden Verkehrsträger eine eigene App mit eigener Zahlungslösung.
Wir haben in Deutschland schlicht auch keine Drehkreuze vor den Bahnsteigen, wo man das nutzen könnte.
Bequemlichkeit hat eben seinen Preis. Das war schon immer so.
Ich liebe solche gutgemachten Videos. Es bleiben keine Frage offen.
Solange die Zahlungen nicht autorisiert sind sollte es kein Problem darstellen.
Und dann dem Geld hinterher rennen?
+1, genau darum geht es. Geld ist nun mal weg und Du musst dich um die Rückbuchung kümmern.
Trotzdem wirds erstmal abgebucht.
Wenn wir über kleinere Beträge reden, ist auch Bargeld in der Hosentasche nicht sicher.
Im Gegensatz zu dicken Bündeln, die in der Hosentasche verkanten? (-:
Die Funktion ist standardmäßig ausgeschaltet. Für die Meisten also kein Handlungsbedarf.
Schon peinlich dass die sich gegenseitig die Schuld zuschieben.
Mastercard und Samsung haben es ja auch jeweils gefixt bekommen.
Alter Hut