Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Handy - Navigation Apple-Pay-Funktion erlaubt angeblich Geldklau von gesperrten iPhones

Ein eigentlich praktisches Feature in Apples NFC-Bezahldienst Apple Pay soll sich zum "Abziehen" größerer Geldsummen von VISA-Karten nutzen lassen. Das berichtet ein Team aus IT-Security-Spezialisten an den Universitäten von Birmingham und Surrey. Das Problem ist die sogenannte Express-Transit-Funktion, die auf Deutsch "Express ÖPNV" heißt. Sie aktiviert Kartenzahlungen auch dann, wenn das iPhone oder die Apple Watch gesperrt sind – in bestimmten Kontexten, die offenbar repliziert werden können.

Schnell mal bezahlen, Geld weg​

In Städten wie London oder New York kann man mit Express ÖPNV die Ticketbarrieren durchschreiten, in dem man seine Apple-Hardware an die Lesegeräte hält. In London handelt es sich um einen Check-in/Check-out-Prozess: Von der Karte abgebucht wird dann die jeweilige Fahrstrecke. In New York zahlt man hingegen direkt, weil U-Bahn-Fahrten jeweils immer nur einen einheitlichen Preis haben.


Das Forscherteam schaffte es nun, ein Android-Telefon mit einer speziell entwickelten App zu nutzen, um einem iPhone-Benutzer bis zu 1000 britische Pfund über kontaktloses Visa-Bezahlen zu stehlen. Neben der App ist allerdings noch eine spezielle Funkhardware notwendig, die sich gegenüber dem iPhone oder der Apple Watch dann als Ticketbarriere ausgibt, um die Express-ÖPNV-Funktion überhaupt erst zu aktivieren.

Android-Telefon plus Funkhardware​

Wie die Sicherheitsexperten gegenüber dem britischen Sender BBC weiter angaben, handelt es sich bei dem Problem um eine Schwäche in Visas Implementierung von Express ÖPNV. Auch Apple verwies die Verantwortung an den Kreditkartenriesen. Dort hieß es, das System sei weiterhin sicher, weil "diese Arten von Angriffen außerhalb des Labors nicht praktikabel" seien.

In Apples Stellungnahme heißt es, man nehme "jede Sicherheitsbedrohung sehr ernst". Visa glaube nicht, dass "diese Art von Betrug in der echten Welt wahrscheinlich" sei, da es "mehrere Sicherheitsschichten" gebe. Sollte eine solche Zahlung erfolgen, könnten Nutzer diese ablehnen. Kunden seien durch die Visa-"Zero Liability"-Politik geschützt.

m Labor ausprobiert​

Laut BBC wurden Apple und Visa bereits vor einem Jahr auf das Problem aufmerksam gemacht. Man habe "Variationen von kontaktlosen Betrugsversuchen" im Labor ausprobiert – "seit mehr als einer Dekade", so Visa. Eine gewisse technische Komplexität räumten auch die Forscher ein. Da die möglichen Betrugsgewinne hoch sind, lohne sich dies aber, hieß es weiter.

Nutzer können sich aktuell nur schützen, indem sie Express ÖPNV deaktivieren – dann muss das iPhone bei jedem Bezahlvorgang an einer Ticketbarriere per Face ID oder Touch ID entsperrt werden. Warum Visa bei kontaktlosen Bezahlungen über diese Methode nicht einfach einen Höchstbetrag setzt – für 1000 Pfund wird wohl kaum jemand U-Bahn fahren –, bleibt unklar.
Quelle: heise
 
Zurück
Oben