Apple Pay und Visa: Sicherheitslücke ermöglicht Diebstahl ohne Limit
Sicherheitsforscher haben einen Weg gefunden, betrügerische Zahlungen mit Apple Pay von einem gesperrten iPhone durchzuführen. Nicht alle kontaktlosen Zahlungen via Apple Pay sind dabei von der Schwachstelle betroffen.
Laut dem Bericht des Nachrichtensenders BBC kann Apple Pay mit Visa-Karten dazu genutzt werden, grenzenlose Transaktionen von einem gesperrten iPhone aus zu ermöglichen. Voraussetzung ist dafür der aktivierte Express-Modus. Die Methode gleicht einer digitalen Version des Taschendiebstahls, so der BBC. Sie funktioniert auch dann, wenn sich das iPhone in einer Tasche einer Person befindet. Es gibt laut den Forschern dabei auch kein Transaktionslimit.
Infografik: Hier kann mit Apple Pay bezahlt werden
Express Transit ist eine Funktion, mit der eine Transaktion ohne Entsperren des Geräts durchgeführt werden kann. Apple sieht dabei vor, dass die Express Transit-Funktion nur bei bestimmten Diensten, zum Beispiel an Fahrkartenschaltern funktioniert. Laut den Erkenntnissen der Forscher kann die Funktion allerdings in Kombination mit einer Visa-Karte dazu genutzt werden, den Sperrbildschirm von Apple Pay zu umgehen und mit einem beliebigen EMV-Lesegerät einen beliebigen Betrag zu bezahlen, ohne dass der Benutzer dies autorisiert oder auch nur bemerkt.
Die Forscher waren in der Lage, eine Ticket-Schranken-Transaktion zu emulieren, indem sie ein Proxmark-Gerät verwendeten, das als Kartenlesegerät fungierte und mit dem Ziel-iPhone und einem Android-Telefon mit NFC-Chip kommunizierte, das wiederum mit einem Zahlungsterminal kommunizierte. Der Angriff ist jedoch kompliziert und es ist nicht bekannt, dass es bereits eine aktive Ausnutzung gibt. Als die Forscher das Problem genauer untersuchten, entdeckten sie, dass die Card Transaction Qualifiers (CTQ) modifiziert werden konnten, die für die Festlegung der Limits für kontaktlose Transaktionen zuständig sind. Damit gibt es dann kein Limit mehr für die "heimliche" Bezahlung.
Die Ergebnisse dieser Untersuchung wurden sowohl Apple als auch Visa im Oktober 2020 und im Mai 2021 übermittelt, aber keiner von beiden hat das Problem behoben. Stattdessen schoben sich die beiden Unternehmen gegenseitig die Schuld zu.
Trick beim Bezahlen an der Kasse
Bei der Untersuchung von sogenannten Relay-Attacken auf kontaktlose Zahlungen haben Forscher der University of Birmingham und der University of Surrey in Großbritannien herausgefunden, dass iPhone-Geräte unter bestimmten Bedingungen betrügerische Transaktionen einfach bestätigen. Sie testeten den Angriff erfolgreich mit dem iPhone 7 und dem iPhone 12. Damit eine Zahlung durchgeführt werden kann, müssen iPhone-Benutzer sie normalerweise autorisieren, indem das Telefon mit Face ID, Touch ID oder einem Passcode entsperrt wird. Es gibt jedoch Ausnahmen, die zum Beispiel für eine schnelle Transaktion beim Bezahlen in öffentlichen Verkehrsmitteln gedacht ist.Express Transit ist eine Funktion, mit der eine Transaktion ohne Entsperren des Geräts durchgeführt werden kann. Apple sieht dabei vor, dass die Express Transit-Funktion nur bei bestimmten Diensten, zum Beispiel an Fahrkartenschaltern funktioniert. Laut den Erkenntnissen der Forscher kann die Funktion allerdings in Kombination mit einer Visa-Karte dazu genutzt werden, den Sperrbildschirm von Apple Pay zu umgehen und mit einem beliebigen EMV-Lesegerät einen beliebigen Betrag zu bezahlen, ohne dass der Benutzer dies autorisiert oder auch nur bemerkt.
Die Forscher waren in der Lage, eine Ticket-Schranken-Transaktion zu emulieren, indem sie ein Proxmark-Gerät verwendeten, das als Kartenlesegerät fungierte und mit dem Ziel-iPhone und einem Android-Telefon mit NFC-Chip kommunizierte, das wiederum mit einem Zahlungsterminal kommunizierte. Der Angriff ist jedoch kompliziert und es ist nicht bekannt, dass es bereits eine aktive Ausnutzung gibt. Als die Forscher das Problem genauer untersuchten, entdeckten sie, dass die Card Transaction Qualifiers (CTQ) modifiziert werden konnten, die für die Festlegung der Limits für kontaktlose Transaktionen zuständig sind. Damit gibt es dann kein Limit mehr für die "heimliche" Bezahlung.
Schwachstelle nicht behoben
Die Tests waren nur mit iPhone und Visa-Karten erfolgreich. Bei Mastercard wird geprüft, ob ein gesperrtes iPhone nur Transaktionen von Kartenlesegeräten mit einem Transithändler-Code akzeptiert. Beim Versuch der Methode mit Samsung Pay stellten die Forscher fest, dass Transaktionen mit gesperrten Samsung-Geräten immer möglich sind. Der Wert ist jedoch immer Null, und die Verkehrsunternehmen berechnen die Fahrkarten auf der Grundlage der mit diesen Transaktionen verbundenen Daten.Die Ergebnisse dieser Untersuchung wurden sowohl Apple als auch Visa im Oktober 2020 und im Mai 2021 übermittelt, aber keiner von beiden hat das Problem behoben. Stattdessen schoben sich die beiden Unternehmen gegenseitig die Schuld zu.
Thema:
Apples Aktienkurs in Euro
Videos von und über Apple
- iPhone Ultra: Leaks zeigen erste Dummies des Klapp-Smartphones
- MacBook Neo: Apples Einsteiger-Notebook bleibt auch teurer attraktiv
- Pixel 10 vs. iPhone 17e: Die beiden Budget-Premiumgeräte im Vergleich
- iPadOS 27: Erste Blicke auf Apples neues Tablet-Betriebssystem
- Silo: Apple zeigt den offiziellen Trailer zu Staffel 3 der Sci-Fi-Serie
Neue Downloads zum Thema Apple
Beiträge aus dem Forum
-
Wie alt sollte ein MacBook höchstens sein?
MiezMau -
Virtuellen PDF Drucker auf Macbook installieren - wie ?
Sonnenschein11 -
AppleTV
MiezMau -
Surfstick für MacBook Air mit Sonoma 14
landbastler -
iPhone 13 + Smartwatch (keine Apple Watch)
Bilaltore -
Win-Viren am Mac prüfen?
mondayand0 -
IPhone Ortung verhindern.
PC.Nutzer -
Kontextmenu bearbeiten
Brutschi -
Office 2019 MAC Problem
MiyaGi -
Windows Computer vergleichbar Apple M1 Mini
Lewio82
Weiterführende Links
Neue Nachrichten
- PlayStation 5: Sony ignoriert die Proteste gegen das Disc-Aus
- Letzte Chance: Waipu.tv mit Sky WOW Jahrespaket stark reduziert
- Tech-Minister: Vorsicht vor KI-Agenten, sie täuschen und betrügen
- Google Translate: Android-App bekommt endlich ein neues Design
- Gute Nachrichten: Erde wird wohl doch nie von der Sonne verschluckt
- Trotz Embargo: Huawei bringt 5G-Smartphones wieder außerhalb Chinas
- Bis 225 km Reichweite: Fiido zeigt seine E-Bike-Neuheiten für 2026
Videos
Beliebte Downloads
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen