Verfahren bekannt aber aufwändig
Apple Pay: Abbuchung trotz gesperrtem iPhone möglich
Sicherheitsforscher zeigen eindrucksvoll, wie sich Apple Pay unter bestimmten Voraussetzungen manipulieren lässt. Als „Opfer“ haben sie sich den bekannten YouTuber Marques Brownlee ausgewählt, dessen gesperrtes iPhone in der Vorführung für mehrere nichtautorisierte Zahlungen genutzt wurde.
Dabei gelang es den Forschern nicht nur, einen kleinen Betrag zu buchen, obwohl das Smartphone nicht entsperrt wurde. Auch die deutlich höhere Summe von 10.000 Dollar wurde vom System akzeptiert, obwohl keine zusätzliche Bestätigung durch den iPhone-Besitzer erfolgte.
Funktioniert nicht mit allen Karten
Um dies zu bewerkstelligen, haben die Experten mehrere technische Eigenheiten des Bezahlverfahrens kombiniert. Dabei gilt jedoch, dass sich dies nicht mit allen Zahlungskarten umsetzen lässt. In der gezeigten Konstellation wird eine Kreditkarte von Visa verwendet. Andere Kartenanbieter nutzen wohl teilweise zusätzliche Prüfmechanismen, die einen solchen Angriff zumindest erschweren können.
Die Forscher manipulierten die drahtlose Kommunikation zwischen dem iPhone und dem Kartenleser. Dabei kommen zusätzliche Geräte und Software zum Einsatz, die sich zwischen die beiden Systeme schalten. Auf diesem Weg wird Apples Express-Modus für den öffentlichen Nahverkehr ausgetrickst. Diese Funktion erlaubt Zahlungen, ohne das Gerät zuvor zu entsperren. Durch die Manipulation wird es möglich, auf diesem Weg auch größere Beträge freizugeben.
Verfahren bekannt aber aufwändig
Die zugrundeliegende Schwachstelle ist bereits seit rund fünf Jahren bekannt. Bereits damals seien sowohl Apple als auch Visa über die Ergebnisse informiert worden. In Stellungnahmen hätten beide Unternehmen darauf verwiesen, dass ein Missbrauch im Alltag eher unwahrscheinlich sei. Visa verweist in diesem Zusammenhang zudem darauf, dass Karteninhaber für unautorisierte Zahlungen nicht haften müssten und entstandener Schaden ersetzt wird.
In der Praxis dürfte der Einsatz des gezeigten Betrugsverfahrens eher unwahrscheinlich sein, da der technische Aufwand hoch ist. Die Forscher wollen nach eigenen Angaben mit ihrer Demonstration zeigen, dass Sicherheitsmechanismen in komplexen Zahlungssystemen grundsätzlich umgangen werden können.
Oha
War nur eine Frage der Zeit. Bei den Kontaktlosen Karten geht das ja schon länger bis zu nem bestimmten Betrag meistens so 20-30€. Das hier ist aufwändiger aber dafür sind mehr Leute tendenziell betroffen. bei den NFC Karten kannst ja einfach nen Blocker in die Geldbörse packen um das zu erschweren bei nem Smartphone wirds schwierig zumindest wenn man noch ne Verbindung bekommen will.
Artikel gelesen und bisschen verstanden? Stichwort Express Modus für den öffentlichen Nahverkehr im Ausland…
Passt doch, was er kommentiert. Müsstest ja dein Handy in der Tasche abschirmen, um dem entgegenzuwirken, das ist bei Karten einfach machbar.
So einfach ist das mit den NFC-Karten auch nicht. Im Internet heißt es anders, das hält sich hartnäckig, aber NFC Blocker lohnen nicht wirklich. Das Risiko ist zu klein.
…nicht nur das, man kann statt 20€ dann einfach mal 20.000€ abgreifen
Die Funktion „Express-ÖPNV-Karte“ habe ich in New York gerne genutzt.
Damit musste das Handy nie entsperrt werden. Eigentlich klar, dass das eine Schwachstelle sein könnte. Aber man kann es ja jederzeit deaktivieren.
Bin mal gespannt, wie die Apple-Hater diese Nachricht jetzt ausnutzen werden…..
Same. Hab mir dabei auch nie Gedanken gemacht.
Man muss kein Apple Hater sein, um festzustellen, dass so was für 20€ ein akzeptables Risiko ist, aber wenn man 10.000€ damit abbuche kann, muss Apple nochmals nachschärfen.
Funktioniert also nur, wenn die Funktion „Nahverkehrszahlen“ aktiviert ist um dann größere Summen als die vergebenen zu bezahlen? Sprich: Was bei den meisten sowieso abgeschaltet sein sollte?
Hier In Deutschland ohnehin. Ich wüsste nicht wo diese Funktion hierzulande klappen würde. Hier braucht man doch für jeden Verkehrsträger eine eigene App mit eigener Zahlungslösung.
Wir haben in Deutschland schlicht auch keine Drehkreuze vor den Bahnsteigen, wo man das nutzen könnte.
Bequemlichkeit hat eben seinen Preis. Das war schon immer so.
Ich liebe solche gutgemachten Videos. Es bleiben keine Frage offen.
ihren
Solange die Zahlungen nicht autorisiert sind sollte es kein Problem darstellen.
Und dann dem Geld hinterher rennen?
+1, genau darum geht es. Geld ist nun mal weg und Du musst dich um die Rückbuchung kümmern.
Trotzdem wirds erstmal abgebucht.
Wenn wir über kleinere Beträge reden, ist auch Bargeld in der Hosentasche nicht sicher.
Im Gegensatz zu dicken Bündeln, die in der Hosentasche verkanten? (-:
So ist es, zumal ich die dicken Bündel mit Gummi vorne in der Hosentasche mitführe, da geht niemand ran ;)
Ja, bei kleinen Beträgen.
Aber wie oft hast du einen 6-Stelligen Euro Betrag in der Hosentasche, den einfach jemand abgreifen kann?
Ich erlaube meinem Konto standardmäßig auch nicht sechsstellige Beträge abbuchen zu lassen.
Die Funktion ist standardmäßig ausgeschaltet. Für die Meisten also kein Handlungsbedarf.
Hej,
das hab ich grad mal überprüft.
Die Funktion ist standardmäßig leider nicht deaktiviert.
Also schaut sicherheitshalber mal nach und entscheidet dann ggf.
Doch ist sie. Man muss sie immer erst explizit aktivieren.
Schon peinlich dass die sich gegenseitig die Schuld zuschieben.
Mastercard und Samsung haben es ja auch jeweils gefixt bekommen.
Tun sie nicht.
Sie sagen es ist nicht relevant.
Alter Hut
Einfach den Express-ÖPNV deaktivieren , ich glaube das ist Standard , schadet aber nicht es zu kontrollieren .
VISA, die Freiheit nehm‘ ich mir.
Express ist bei mir auch standardmässig deaktiviert.