iphone-ticker.de — Alles zum iPhone. Seit 2007. 37 532 Artikel

Apple und VISA im Zuständigkeits-Gerangel

Apple Pay: Geld-Abbuchungen von gesperrtem iPhone möglich

Artikel auf Mastodon teilen.
45 Kommentare 45

Um die bequeme Nutzung von Bezahlschranken im öffentlichen Personennahverkehr möglich zu machen, hat Apple der hauseigenen Bezahlfunktion Apple Pay den optionalen Express-ÖPNV-Modus spendiert.

Express Oepnv

In unterstützten Regionen lässt sich das iPhone hier in eine Bezahlkarte für den öffentlichen Personennahverkehr verwandeln und während der morgendlichen Pendler-Fahrt dann auch im gesperrten Zustand dafür nutzen, sich schnell durch das Gedränge im U-Bahnhof zu schieben.

Der Express-ÖPNV-Modus wird dabei etwa von den Suica-kompatiblen Zügen in Japan, von den U-Bahn-Linien in New York City und Portland, mehreren ÖPNV-Dienstleistern in Peking und Schanghai, sowie im Londoner Personennahverkehr akzeptiert.

Express-ÖPNV-Modus lässt sich täuschen

Forscher in Großbritannien haben nun festgestellt, dass sich der Express-ÖPNV-Modus des iPhones austricksen lässt und die heimliche Abbuchung von Zahlungen möglich macht. Für diese muss das iPhone nicht mal entsperrt sein.

Setup Apple 1500

Dies haben Sicherheitsforscher der britischen University of Birmingham herausgefunden und geben an, dass man von iPhone-Modellen mit aktiviertem Express-ÖPNV-Modus beliebig viele Abbuchungen vornehmen kann.

Glücklicherweise ist dies aktuell nur mit einem vergleichsweise komplizierten Testaufbau möglich. Dabei wird ein modifiziertes Lesegerät in die Nähe eines gesperrten iPhones gebracht und gaukelt diesem vor, an eine Bezahlschranke gehalten zu werden. Mit einem zusätzlichen Android-Handy wird nun eine kontaktlose Bezahlung initiiert, die an das Lesegerät durchgereicht und so letztlich vom iPhone beglichen wird.

Video-Demo: £1000-Abbuchung im Sperrzustand

Apple und VISA im Zuständigkeits-Gerangel

Nach Angaben der Forscher sind die Geld-Abbuchungen derzeit nur von VISA-Karten möglich und könnten von Apple oder VISA problemlos unterbinden werden. Beide Unternehmen wurden bereits vorm Monaten über die Schwachstelle informiert, konnten sich bislang aber nicht nicht einigen, wer für die Fehlerbehebung zuständig ist.

Erklär-Demo: Der Angriff unter Laborbedingungen

01. Okt 2021 um 09:06 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    45 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Hab Visa und Apple Pay. Bis jetzt läuft alles gut. Kein Verlust oder sonstiges zu berichten :-)

  • Der, der es am schnellsten fixt, macht es und die beiden Parteien teilen sich die Kosten; fertig.

    Verlange auch keine Beraterkosten.

  • „Apple und VISA im Zuständigkeits-Gerangel“ wenn ich sowas schon lese…
    Einfach zusammen arbeiten und gut ist.

  • Eindeutig Apples Baustelle. Der Modus ist mangels Entsperrung per Definition unsicher. Ist genau das Gleiche wie mit den physischen Karten. Dort ist die Lösung eine Höchstgrenze 25€/50€ oder so, für solche Zahlungen ohne Pin. Könnte Apple hier auch einführen.
    Oooder man bringt einfach TouchID (zusätzlich) zurück, weil FaceID mit Masken halt nicht funktioniert. Dann wäre es auch kein Umstand auch solche Vorgänge zu authentifizieren.

    • „Per Definition“ heißt also, dass es bei Mastercard und Amex nicht funktioniert?

      • Heise hatte das Thema ebenfalls aufgegriffen. Dort war die Rede davon, dass nur Visa betroffen sei. Angeblich würde MasterCard einen entsprechenden Angriff abwehren.

        Dazu kommt noch, wie WillyW schon andeutete, dass Visa für die Zahlung im Express-ÖPNV-Modus eine absurde Höchstgrenze von 1000€ zulässt – so dass sich ein entsprechender Angriff lohnen könnte.

        Gruß

      • Ja genau. Steht im verlinkten Paper: „It does not, for instance, affect Mastercard on Apple Pay or Visa on Samsung Pay.“

    • Klar funktioniert Face ID mit Maske. Entweder du hast ne Apple watch, oder Scannst ein zweites Gesicht mit Maske ein. Bisher konnte sich niemand anders mit Maske damit mein iPhone entsperren im versuch ;)

      • Das Entsperren mit Maske und Apple Watch funktioniert nur für das Gerät an sich – nicht bei Apple Pay oder zum Login in eine App.
        Mich würde mal interessieren, wie es gelingt, ein Gesicht mit Maske ins FaceID zu bekommen?!

      • Andrey Benutzer

        Face ID lässt das Scannen mit Maske (bei mir häufig versucht) nicht zu. Da fehlen wohl zu viele Informationen. Wäre aber dankbar für einen Weg (ohne Watch) das Phone mit Maske zu entsperren. Danke

      • PIN. Gern geschehen. ;-)

      • Das soll tatsächlich gehen, also

        1. Vorgang:
        Scanne ein neues Gesicht, indem die Maske am rechten Ohr hängt und mit einem Lineal (stabilisierend quasi) hälst du nur die Hälfte über das Gesicht bis zur Nasenspitze.

        2. Vorgang mit Einhängen der Maske von links nochmal.

        Ich selbst habe zwar immer noch Touch-ID, habe aber mal ein Workaround Video gesehen, wo das jemand erfolgreich umgesetzt hat.

      • Wer zahlt mit seinem iPhone, wenn er eine AppleWatch trägt? Das macht keinen Sinn. Erst recht nicht mit Maske, da die Watch einfach direkt ohne zusätzliche Authentifizierung bereit ist.

    • Ich wage zu behaupten dass bei Apple die ÖPNV-Geldkarten Funktion, ebenfalls einmal kleine Beträge abheben lässt. Bei dem Angriff werden allerdings viele Abhebevorgänge hintereinander geschaltet, da es also im echten urbanen Leben also keine Metro-Hopper gibt, die innerhalb von wenigen Sekunden ein Ticket erwerben bzw. nicht 600 mal durch eine Schranke beziehungsweise Drehkreuz huschen, sollte das alleine schon als Angriff gedeutet werden ins erkannt werden können.

  • Es gibt im Grunde kein Gerangel. Apple hat eine Stellungnahme veröffentlicht und sieht VISAs System als Problem. Es gibt keine mit Master oder Amex. VISA sagt sie sehen das nicht wirklich als Problem an und machen nichts.

    • Zusätzlich Touch ID, hörst du doch reden?
      Was sollen jetzt alle Leute mit aktuellen Geräten dann auf ein neues noch nicht verfügbares Telefon warten und dann umsteigen?

      Hier würde es schon reichen einfach die bezahlfunktion im speerzustand zu deaktivieren, und eine aktive Bezahlung per doppelten Tipp auf den Power Button und entsperrten Handy zu starten völlig ausreichen.

      • Ein großer Komfortverlust für etwas was Amex und Master hinbekommen

      • Das Visa-System funktioniert auch mit Samsung, also muss wohl auch Apple mal schauen, was mit ihrem Securitysystem falsch läuft.

      • @Alex ein großer Komfortverlust also?
        Wenn man mir zuhause das Bett wegnimmt und ich auf dem Boden pennen muss…das ist ein großer Komfortverlust!

    • Offensichtlich sollten beide Seiten ihr loch stopfen, damit die Kunden einen doppelten Boden haben.

      Da Visa dieses Problem nicht auf Samsung-Handies hat, ist es wohl ein Apple problem.

      Da Apple dies problem nur bei Visa hat ist es EBENFALLS ein Visa problem.

  • Dank Apple werden wir zum Selbstbedienungsladen jedes neue IOS ist schlimmer als das letzte hat man ein Problem ruft man die Hotline an, erste Frage was für ein IOS haben sie, das ist nicht das neuste das müssen sie erst auf den neusten Stand bringen dann ausprobieren wenn der Fehler nicht weg ist rufen sie wieder an

  • Express-ÖPNV ist sich nicht für Kreditkaeten gedacht, sondern für Bus und Bahn tickets…wer da eine Kreditkarte hinterlegt muss sich meiner Meinung nach auch nicht wundern. Da kann ich das iPhone auch einfach klauen und direkt damit durch die Gegend laufen und Sachen kaufen.

  • In Deutschland ist Express-Transit doch standardmäßig deaktiviert.

  • Wieder mal Click bait von euch ifun.de Team. Das vida genau für diesen Fall eine Versicherung hat erwähnt ihr wieder nicht. Damit kommt kein schade zu Stande und Geld bekommen die Verbrecher auch nicht.

    Bitte weniger reißerisch die Artikel und Titel

  • Ist ja noch bekloppter als das Lesegerät, das einem angeblich heimlich ans Portmonee gehalten wird.
    Solch ein Terminal ist zwangsläufig mit einem Bankkonto verbunden und dort laufen Sicherheitsmechanismen um Betrug zu erkennen. Zudem lässt sich so verlorenes Geld immer durch CashBack zurückholen.
    Für Empörungs-Medien ein gefundenes fressen. Die Headlines „iPhone unsicher, Betrüger können einfach so einkaufen“ werden kommen!

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 37532 Artikel in den vergangenen 6107 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven