Sicherheitsforscher zeigen eindrucksvoll, wie sich Apple Pay unter bestimmten Voraussetzungen manipulieren lässt. Als „Opfer“ haben sie sich den bekannten YouTuber Marques Brownlee ausgewählt, dessen gesperrtes iPhone in der Vorführung für mehrere nichtautorisierte Zahlungen genutzt wurde.
Dabei gelang es den Forschern nicht nur, einen kleinen Betrag zu buchen, obwohl das Smartphone nicht entsperrt wurde. Auch die deutlich höhere Summe von 10.000 Dollar wurde vom System akzeptiert, obwohl keine zusätzliche Bestätigung durch den iPhone-Besitzer erfolgte.
Funktioniert nicht mit allen Karten
Um dies zu bewerkstelligen, haben die Experten mehrere technische Eigenheiten des Bezahlverfahrens kombiniert. Dabei gilt jedoch, dass sich dies nicht mit allen Zahlungskarten umsetzen lässt. In der gezeigten Konstellation wird eine Kreditkarte von Visa verwendet. Andere Kartenanbieter nutzen wohl teilweise zusätzliche Prüfmechanismen, die einen solchen Angriff zumindest erschweren können.
Die Forscher manipulierten die drahtlose Kommunikation zwischen dem iPhone und dem Kartenleser. Dabei kommen zusätzliche Geräte und Software zum Einsatz, die sich zwischen die beiden Systeme schalten. Auf diesem Weg wird Apples Express-Modus für den öffentlichen Nahverkehr ausgetrickst. Diese Funktion erlaubt Zahlungen, ohne das Gerät zuvor zu entsperren. Durch die Manipulation wird es möglich, auf diesem Weg auch größere Beträge freizugeben.
Verfahren bekannt aber aufwändig
Die zugrundeliegende Schwachstelle ist bereits seit rund fünf Jahren bekannt. Bereits damals seien sowohl Apple als auch Visa über die Ergebnisse informiert worden. In Stellungnahmen hätten beide Unternehmen darauf verwiesen, dass ein Missbrauch im Alltag eher unwahrscheinlich sei. Visa verweist in diesem Zusammenhang zudem darauf, dass Karteninhaber für unautorisierte Zahlungen nicht haften müssten und entstandener Schaden ersetzt wird.
In der Praxis dürfte der Einsatz des gezeigten Betrugsverfahrens eher unwahrscheinlich sein, da der technische Aufwand hoch ist. Die Forscher wollen nach eigenen Angaben mit ihrer Demonstration zeigen, dass Sicherheitsmechanismen in komplexen Zahlungssystemen grundsätzlich umgangen werden können.
The post Apple Pay: Abbuchung trotz gesperrtem iPhone möglich first appeared on iphone-ticker.de.