Apple Pay: Sicherheitslücke ermöglicht illegale Abbuchungen

VonJörn Schmidt
Apple Pay
Quelle: Apple
Verpasse keine News, folge mir auf WhatsApp, Mastodon oder Google News

Wer im Apple-Kosmos unterwegs ist, schätzt den Komfort, im Vorbeigehen ohne Face-ID zu bezahlen. Doch genau diese Bequemlichkeit wird zum Einfallstor für Kriminelle. Die YouTuber Marques Brownlee und Veritasium demonstrieren aktuell eindrucksvoll, wie Angreifer den Expressmodus für Bus und Bahn missbrauchen. Mittels einer Man-in-the-Middle-Attacke fingen die Tester Zahlungsdaten eines gesperrten iPhones ab und leiteten diese an ein manipuliertes Zweitgerät weiter. Das Ergebnis war erschreckend: Beträge von 5 bis hin zu 10.000 US-Dollar ließen sich problemlos von fremden Terminals abbuchen.

Das Problem liegt technisch gesehen an der Kommunikation zwischen dem Smartphone und dem Lesegerät. Das iPhone wird durch ein präpariertes NFC-Terminal getäuscht, das eine legitime Kennung aus dem Nahverkehr simuliert. Da Apple beim Express-Check-in auf die biometrische Entsperrung verzichtet, gibt das Gerät die Daten bereitwillig frei. Diese Informationen werden per Skript auf einem Laptop modifiziert und anschließend an ein echtes Zahlungsziel gesendet.

Erschreckend ist vor allem die Tatsache, dass diese Schwachstelle bereits seit 2021 aktenkundig ist. Sicherheitsforscher warnten schon vor Jahren vor diesem Szenario, doch eine Lösung scheint nicht in Sicht. Betroffen sind nach aktuellem Stand ausschließlich Nutzer einer Visa-Karte. Im Gegensatz zu Mastercard oder American Express verzichtet Visa bei Online-Transaktionen auf eine zusätzliche Verschlüsselungsebene. Das Unternehmen spielt die Gefahr bisher herunter und verweist darauf, dass solche Angriffe in der Realität kaum vorkommen würden.

Meiner Meinung nach ist diese Ignoranz seitens Visa gegenüber einer verifizierten Lücke absolut unverständlich. Apple schiebt die Verantwortung ebenfalls von sich und sieht die Kartenanbieter in der Pflicht. Wer auf Nummer sicher gehen will, sollte den Expressmodus in den Wallet-Einstellungen schleunigst deaktivieren oder zumindest keine Visa-Karte für den schnellen ÖPNV-Check-in hinterlegen. Gerade bei einem Diebstahl oder Verlust des Smartphones wird das Gerät sonst zum digitalen Selbstbedienungsladen für Technikkundige.

Hier klicken, um den Inhalt von YouTube anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von YouTube.

„I hacked MKBHD’s locked phone“ direkt öffnen

Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Jörn Schmidt Profilbild

Android-Fan seit 2010, Outdoor- & Skandinavien-Fan, Kino-Freak und derzeitiger User eines Google Pixel 9 Pro XL mit Android 16

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert