Apple Pay: Sicherheitslücke erlaubt Abbuchung ohne Nutzer-Bestätigung
Eine Schwachstelle in einer Bezahlfunktion des iPhones ermöglicht es Angreifern, Geldbeträge von gesperrten Geräten abzubuchen. Der Trick nutzt eine Lücke bei kontaktlosen Zahlungen im ÖPNV. Vor allem deutsche Nutzer müssen aber kaum um ihr Geld fürchten.
Die Angreifer leiten die Daten an ein zweites Gerät weiter, das die eigentliche Transaktion an einem echten Kassensystem ausführt. So lassen sich Teile der üblichen Sicherheitsmechanismen für kontaktlose Zahlungen umgehen. Das Lesegerät spiegelt dem iPhone außerdem vor, es befinde sich an einem Drehkreuz im Nahverkehr. Dadurch ist keine Entsperrung per FaceID oder PIN-Code erforderlich.
Das Risiko für Endanwender im Alltag ist allerdings als sehr gering einzustufen. Der Diebstahl funktioniert ausschließlich, wenn im Apple Wallet eine Karte des Anbieters Visa für den Schnellmodus im ÖPNV hinterlegt ist. Bei anderen Anbietern wie Mastercard oder American Express greift der Trick nicht, da sie andere Verschlüsselungsprotokolle verwenden.
Auf YouTube ansehen
Zudem setzt das Vorgehen einen längeren physischen Kontakt mit dem Smartphone voraus. Ein kurzes Streifen der Hosentasche reicht für den Datenaustausch nicht aus. Ein Komplize muss zeitgleich zudem ein echtes Kassenterminal bedienen
Visa selbst stuft die Wahrscheinlichkeit eines solchen Betrugs als extrem gering ein. Sollte es dennoch zu unrechtmäßigen Abbuchungen kommen, greift offiziellen Angaben zufolge der Null-Haftungs-Schutz des Unternehmens. Kunden erhalten ihr Geld in der Regel unkompliziert zurück, solange sie den Vorfall zeitnah melden.
Hattet ihr schon einmal Probleme mit dem kontaktlosen Bezahlen per Smartphone? Wurden euch schon einmal unrechtmäßig Beträge abgebucht? Teilt eure Erfahrungen in den Kommentaren mit uns!
Siehe auch:
Theoretische Schwachstelle im Expressmodus
YouTuber haben aufgezeigt, wie sich hohe Geldbeträge von einem gesperrten iPhone abbuchen lassen. Der Angriff zielt auf die Apple-Pay-Funktion Express Transit für den öffentlichen Nahverkehr ab. Ein modifiziertes NFC-Lesegerät fängt dabei die Kommunikation zwischen dem Smartphone und einem Bezahlterminal ab.Die Angreifer leiten die Daten an ein zweites Gerät weiter, das die eigentliche Transaktion an einem echten Kassensystem ausführt. So lassen sich Teile der üblichen Sicherheitsmechanismen für kontaktlose Zahlungen umgehen. Das Lesegerät spiegelt dem iPhone außerdem vor, es befinde sich an einem Drehkreuz im Nahverkehr. Dadurch ist keine Entsperrung per FaceID oder PIN-Code erforderlich.
Mittels Express Transit können iPhone-Nutzer an ÖPNV-Drehkreuzen schnell und unkompliziert ihre Tickets bezahlen. Um den Fahrgastfluss zu beschleunigen, wird auf eine Authentifizierung verzichtet.
Zwar ist das System in Deutschland momentan nicht verfügbar, wer sich jedoch als Tourist in großen Städten wie London oder Paris bewegt, kommt damit potenziell in Kontakt.
Zwar ist das System in Deutschland momentan nicht verfügbar, wer sich jedoch als Tourist in großen Städten wie London oder Paris bewegt, kommt damit potenziell in Kontakt.
Bedingungen für den Diebstahl
Wie der Kanal Veritasium in seinem YouTube-Video demonstriert, müssen für einen erfolgreichen Angriff jedoch äußerst unwahrscheinlich auftretende Umstände zusammenkommen. In einem Testaufbau gelang es den Akteuren dann allerdings, 10.000 US-Dollar (etwa 8463 Euro) von dem gesperrten Gerät des Technik-Reviewers Marques Brownlee zu transferieren.Das Risiko für Endanwender im Alltag ist allerdings als sehr gering einzustufen. Der Diebstahl funktioniert ausschließlich, wenn im Apple Wallet eine Karte des Anbieters Visa für den Schnellmodus im ÖPNV hinterlegt ist. Bei anderen Anbietern wie Mastercard oder American Express greift der Trick nicht, da sie andere Verschlüsselungsprotokolle verwenden.
Auf YouTube ansehenZudem setzt das Vorgehen einen längeren physischen Kontakt mit dem Smartphone voraus. Ein kurzes Streifen der Hosentasche reicht für den Datenaustausch nicht aus. Ein Komplize muss zeitgleich zudem ein echtes Kassenterminal bedienen
Sicherheitslücke schon länger bekannt
Die zugrunde liegende Schwachstelle ist in der IT-Sicherheitsforschung bereits seit dem Jahr 2021 dokumentiert. Apple und Visa haben das Problem damals geprüft, es aber mangels Relevanz in der Praxis nicht geschlossen.Visa selbst stuft die Wahrscheinlichkeit eines solchen Betrugs als extrem gering ein. Sollte es dennoch zu unrechtmäßigen Abbuchungen kommen, greift offiziellen Angaben zufolge der Null-Haftungs-Schutz des Unternehmens. Kunden erhalten ihr Geld in der Regel unkompliziert zurück, solange sie den Vorfall zeitnah melden.
Hattet ihr schon einmal Probleme mit dem kontaktlosen Bezahlen per Smartphone? Wurden euch schon einmal unrechtmäßig Beträge abgebucht? Teilt eure Erfahrungen in den Kommentaren mit uns!
Zusammenfassung
- YouTuber zeigten eine iPhone-Lücke bei Express Transit im ÖPNV
- Video demonstriert unberechtigten Transfer von 10.000 Dollar
- Ein modifiziertes NFC-Lesegerät täuscht Drehkreuzkontakt am iPhone vor
- So werden Face ID und PIN umgangen, obwohl das Gerät gesperrt ist
- Praktisch klappt der Diebstahl nur mit Visa im Schnellmodus des Wallets
- Die Schwachstelle ist seit 2021 bekannt, das Alltagsrisiko bleibt gering
Siehe auch:
- iPhone Fold: Viskoelastischer Kleber als Geheimnis hinter glattem Screen
- Ausgesperrt: iOS-Update hat verheerende Folgen für iPhone-Besitzer
- iOS 26.4.1 ist da: iPhone-Update behebt nervigen iCloud-Sync-Fehler
- iPhone Fold: Die gestartete Testproduktion offenbart große Probleme
- iPhone 18 Pro & Fold Dummys geleakt: so 'klein' ist das Apple Foldable
Videos zum iPhone
-
iPhone 17 vs. iPhone 17e: Lohnt sich der Aufpreis von 250 Euro?
-
iPhone 17: Mit diesem Zubehör steigert ihr den Nutzen enorm
-
Handgemachte Magie: Weihnachtliche Tierwelt entdeckt das iPhone 17
-
OnePlus 15 im Test: Ist es wirklich stärker als das neue iPhone?
-
iPhone, Pixel & Galaxy: Aktuelle Smartphone-Flaggschiffe im Vergleich
iPhone 14 Pro im Preisvergleich
Gustav10de 760 € 1 Angebote im WinFuture Preisvergleich
Apples Aktienkurs
Beliebte Downloads
Beiträge aus dem Forum
Weiterführende Links
Beliebt im Preisvergleich
- Handys ohne Vertrag:
Neue Nachrichten
- Spiele als Dauerwerbesendung: EA plant Reklame 'direkt im Gameplay'
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
- Fox kauft Roku: Neuer Streaming-Gigant für 22 Milliarden Dollar
- Drohnen-Alternative: Schlangenroboter prüfen Hochspannungsleitungen
- 110 Billiarden Kilometer: Forscher arbeiten an Karte von Pilzgeflechten
- Genialer 5G-Tarif ist zurück: Vodafone Unlimited-Flat für 14,99 Euro
- Zelda Ocarina of Time: Leak verrät neue Details zum Gameplay
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen