Ein eigentlich praktisches Feature in Apples NFC-Bezahldienst Apple Pay soll sich zum "Abziehen" größerer Geldsummen von VISA-Karten nutzen lassen. Das berichtet ein Team aus IT-Security-Spezialisten an den Universitäten von Birmingham und Surrey. Das Problem ist die sogenannte Express-Transit-Funktion, die auf Deutsch
Das Forscherteam schaffte es nun, ein Android-Telefon mit einer speziell entwickelten App zu nutzen, um einem iPhone-Benutzer bis zu 1000 britische Pfund über kontaktloses Visa-Bezahlen zu stehlen. Neben der App ist allerdings noch eine spezielle Funkhardware notwendig, die sich gegenüber dem iPhone oder der Apple Watch dann als Ticketbarriere ausgibt, um die Express-ÖPNV-Funktion überhaupt erst zu aktivieren.
In Apples Stellungnahme heißt es, man nehme "jede Sicherheitsbedrohung sehr ernst". Visa glaube nicht, dass "diese Art von Betrug in der echten Welt wahrscheinlich" sei, da es "mehrere Sicherheitsschichten" gebe. Sollte eine solche Zahlung erfolgen, könnten Nutzer diese ablehnen. Kunden seien durch die Visa-"Zero Liability"-Politik geschützt.
Nutzer können sich aktuell nur schützen, indem sie Express ÖPNV deaktivieren – dann muss das iPhone bei jedem Bezahlvorgang an einer Ticketbarriere per Face ID oder Touch ID entsperrt werden. Warum Visa bei kontaktlosen Bezahlungen über diese Methode nicht einfach einen Höchstbetrag setzt – für 1000 Pfund wird wohl kaum jemand U-Bahn fahren –, bleibt unklar.
Quelle: heise
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
heißt. Sie aktiviert Kartenzahlungen auch dann, wenn das iPhone oder die Apple Watch gesperrt sind – in bestimmten Kontexten, die offenbar repliziert werden können.Schnell mal bezahlen, Geld weg
In Städten wie London oder New York kann man mit Express ÖPNV die Ticketbarrieren durchschreiten, in dem man seine Apple-Hardware an die Lesegeräte hält. In London handelt es sich um einen Check-in/Check-out-Prozess: Von der Karte abgebucht wird dann die jeweilige Fahrstrecke. In New York zahlt man hingegen direkt, weil U-Bahn-Fahrten jeweils immer nur einen einheitlichen Preis haben.Das Forscherteam schaffte es nun, ein Android-Telefon mit einer speziell entwickelten App zu nutzen, um einem iPhone-Benutzer bis zu 1000 britische Pfund über kontaktloses Visa-Bezahlen zu stehlen. Neben der App ist allerdings noch eine spezielle Funkhardware notwendig, die sich gegenüber dem iPhone oder der Apple Watch dann als Ticketbarriere ausgibt, um die Express-ÖPNV-Funktion überhaupt erst zu aktivieren.
Android-Telefon plus Funkhardware
Wie die SicherheitsexpertenDu musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
weiter angaben, handelt es sich bei dem Problem um eine Schwäche in Visas Implementierung von Express ÖPNV. Auch Apple verwies die Verantwortung an den Kreditkartenriesen. Dort hieß es, das System sei weiterhin sicher, weil "diese Arten von Angriffen außerhalb des Labors nicht praktikabel" seien.In Apples Stellungnahme heißt es, man nehme "jede Sicherheitsbedrohung sehr ernst". Visa glaube nicht, dass "diese Art von Betrug in der echten Welt wahrscheinlich" sei, da es "mehrere Sicherheitsschichten" gebe. Sollte eine solche Zahlung erfolgen, könnten Nutzer diese ablehnen. Kunden seien durch die Visa-"Zero Liability"-Politik geschützt.
m Labor ausprobiert
Laut BBC wurden Apple und Visa bereits vor einem Jahr auf das Problem aufmerksam gemacht. Man habe "Variationen von kontaktlosen Betrugsversuchen" im Labor ausprobiert – "seit mehr als einer Dekade", so Visa. Eine gewisse technische Komplexität räumten auch die Forscher ein. Da die möglichen Betrugsgewinne hoch sind, lohne sich dies aber, hieß es weiter.Nutzer können sich aktuell nur schützen, indem sie Express ÖPNV deaktivieren – dann muss das iPhone bei jedem Bezahlvorgang an einer Ticketbarriere per Face ID oder Touch ID entsperrt werden. Warum Visa bei kontaktlosen Bezahlungen über diese Methode nicht einfach einen Höchstbetrag setzt – für 1000 Pfund wird wohl kaum jemand U-Bahn fahren –, bleibt unklar.
Quelle: heise