Apple Pay und Visa: Sicherheitslücke ermöglicht Diebstahl ohne Limit

Sicherheitsforscher haben einen Weg gefunden, betrügerische Zahlungen mit Apple Pay von einem gesperrten iPhone durchzuführen. Nicht alle kontaktlosen Zahlungen via Apple Pay sind dabei von der Schwachstelle betroffen. Laut dem Bericht des Nachrichtensenders BBC kann Apple Pay mit Visa-Karten dazu genutzt werden, grenzenlose Transaktionen von einem gesperrten iPhone aus zu ermöglichen. Voraussetzung ist dafür der aktivierte Express-Modus. Die Methode gleicht einer digitalen Version des Taschendiebstahls, so der BBC. Sie funktioniert auch dann, wenn sich das iPhone in einer Tasche einer Person befindet. Es gibt laut den Forschern dabei auch kein Transaktionslimit. Infografik: Hier kann mit Apple Pay bezahlt werden

Trick beim Bezahlen an der Kasse

Bei der Untersuchung von sogenannten Relay-Attacken auf kontaktlose Zahlungen haben Forscher der University of Birmingham und der University of Surrey in Großbritannien herausgefunden, dass iPhone-Geräte unter bestimmten Bedingungen betrügerische Transaktionen einfach bestätigen. Sie testeten den Angriff erfolgreich mit dem iPhone 7 und dem iPhone 12. Damit eine Zahlung durchgeführt werden kann, müssen iPhone-Benutzer sie normalerweise autorisieren, indem das Telefon mit Face ID, Touch ID oder einem Passcode entsperrt wird. Es gibt jedoch Ausnahmen, die zum Beispiel für eine schnelle Transaktion beim Bezahlen in öffentlichen Verkehrsmitteln gedacht ist.

Express Transit ist eine Funktion, mit der eine Transaktion ohne Entsperren des Geräts durchgeführt werden kann. Apple sieht dabei vor, dass die Express Transit-Funktion nur bei bestimmten Diensten, zum Beispiel an Fahrkartenschaltern funktioniert. Laut den Erkenntnissen der Forscher kann die Funktion allerdings in Kombination mit einer Visa-Karte dazu genutzt werden, den Sperrbildschirm von Apple Pay zu umgehen und mit einem beliebigen EMV-Lesegerät einen beliebigen Betrag zu bezahlen, ohne dass der Benutzer dies autorisiert oder auch nur bemerkt.

Die Forscher waren in der Lage, eine Ticket-Schranken-Transaktion zu emulieren, indem sie ein Proxmark-Gerät verwendeten, das als Kartenlesegerät fungierte und mit dem Ziel-iPhone und einem Android-Telefon mit NFC-Chip kommunizierte, das wiederum mit einem Zahlungsterminal kommunizierte. Der Angriff ist jedoch kompliziert und es ist nicht bekannt, dass es bereits eine aktive Ausnutzung gibt. Als die Forscher das Problem genauer untersuchten, entdeckten sie, dass die Card Transaction Qualifiers (CTQ) modifiziert werden konnten, die für die Festlegung der Limits für kontaktlose Transaktionen zuständig sind. Damit gibt es dann kein Limit mehr für die "heimliche" Bezahlung.

Schwachstelle nicht behoben

Die Tests waren nur mit iPhone und Visa-Karten erfolgreich. Bei Mastercard wird geprüft, ob ein gesperrtes iPhone nur Transaktionen von Kartenlesegeräten mit einem Transithändler-Code akzeptiert. Beim Versuch der Methode mit Samsung Pay stellten die Forscher fest, dass Transaktionen mit gesperrten Samsung-Geräten immer möglich sind. Der Wert ist jedoch immer Null, und die Verkehrsunternehmen berechnen die Fahrkarten auf der Grundlage der mit diesen Transaktionen verbundenen Daten.

Die Ergebnisse dieser Untersuchung wurden sowohl Apple als auch Visa im Oktober 2020 und im Mai 2021 übermittelt, aber keiner von beiden hat das Problem behoben. Stattdessen schoben sich die beiden Unternehmen gegenseitig die Schuld zu.