Bezahlen mit dem Handy ist bequem: Hat man doch das Smartphone üblicherweise schnell zur Hand. Insofern ist es kein Wunder, dass sich gerade Apple Pay in dieser Hinsicht großer Beliebtheit erfreut. Dass all das mit einem gewissen Risiko einhergeht, daran erinnert nun eine aktuelle Warnung.

Fehlerhaft

Sicherheitsforscher der Universitäten von Birmingham und Surrey haben Sicherheitslücken im Zusammenspiel von Apple Pay und manchen Kreditkarten aufgespürt, durch die ohne Autorisierung Geld von einem iPhone gestohlen werden kann. Alles was es dafür braucht, ist ein physischer Zugriff auf das Gerät. Die Forscher demonstrieren den Angriff in einem Video, wo zu sehen ist, wie sie mit einem Kreditkartenlesegerät von einem nicht entsperrten iPhone 1.000 britische Pfund abheben.

Angriffspunkt ist dabei eine Funktion, die eigentlich für den öffentlichen Nahverkehr gedacht ist. Das "Express Transit" genannte Feature ermöglicht nämlich Kartenzahlungen ohne Entsperren des Geräts. Damit kann dann etwa beim Eingang zur U-Bahn an Ticketschranken einfach nur eine Apple Watch hingehalten werden, um die folgende Fahrt zu bezahlen – wie es in einigen Städten möglich ist. Allerdings sollte diese Funktion eben nur für diesen spezifischen Einsatz und auch nur bei kleinen Beträgen klappen. Genau diese Begrenzung konnten die Forscher aber offenbar austricksen, indem sie zusätzlich eine Funk-Hardware gebaut haben, die sich als Ticketbarriere ausgibt.

Reaktionen

Die Forscher sehen die Verantwortung dabei weniger bei Apple als bei Visa, das die "Express Transit"-Funktion fehlerhaft implementiert habe. Diesen Aspekt betont auch Apple in einer Stellungnahme, wo man die Attacke aufgrund der benötigten Hardware aber zusätzlich als wenig praktikabel bezeichnet. Bei Visa wiederum sieht man keinen Handlungsbedarf, da die Nutzer solch eine Zahlung auch nachträglich noch ablehnen könnten.

Die Komplexität des Angriffs räumen auch die Sicherheitsforscher selbst als begrenzenden Faktor ein, dort hält man das Szenario trotzdem für realistisch. Immerhin könnten hier dermaßen hohe Beträge abgehoben werden, dass sich der Aufwand lohne. All das wirft natürlich die Frage auf, warum Visa hier nicht einfach das Limit für solche Transaktionen absenkt, um die Lukrativität einer solchen Attacke zu minimieren. Laut den Forschern wurden übrigens sowohl Visa als auch Apple bereits vor mehr als einem Jahr auf das Problem aufmerksam gemacht. (apo, 30.09.2021)