Laut einem englischen Forscher soll es eine offensichtliche Schwachstelle geben, mit der man Geld von einem gesperrten iPhone stehlen kann, wenn eine Visa-Karte mit Apple Pay Express Transit eingerichtet ist. Ein Kommentar von Sophos.
Komfort und Sicherheit verhalten sich in der IT oft ähnlich in ihrem Verhältnis zueinander wie Freiheit und Sicherheit. Das eine geht nur auf Kosten des anderen. Ein aktuelles Beispiel bietet die Apple Pay „Express Transit“-Funktionalität: kleine Beträge lassen sich bequem bezahlen, trotz Sperrcode. Doch das lässt sich nach jüngsten Berichten fatal ausnutzen. Paul Ducklin, Sophos Security-Experte, erklärt das Problem.
Englischer Forscher findet iPhone-Schwachstelle
Ein noch nicht veröffentlichtes Papier von Forschern aus dem Vereinigten Königreich hat Ende September wegen seiner dramatischen Behauptungen über Apple Pay Schlagzeilen gemacht: Demnach ermögliche es eine offensichtliche Schwachstelle, Geld von einem gesperrten iPhone zu stehlen, wenn eine Visa-Karte mit Apple Pay Express Transit eingerichtet ist.
Noch nie von Express Transit gehört? Es handelt sich um eine dieser cleveren Ideen, bei der Cybersicherheit zugunsten der Bequemlichkeit geopfert wird. Einfach ausgedrückt, lassen sich mit dieser Funktion einige Arten von Touch-to-Pay-Transaktionen durchführen, auch wenn das Telefon gesperrt ist – sofern Express Transit aktiviert ist.
Apple Pay-Zahlprinzip: Zahlen ohne weitere Freigabe
Mit Express Transit funktionieren Apple Pay und das iPhone ein bisschen wie eine normale Kreditkarte, die bei Transaktionen mit geringem Wert nicht mit einem PIN-Code freigegeben werden muss. In den meisten Ländern Europas liegt dieses Limit zwischen 25 und 50 Euro.
Ähnlich einfach ist die Bezahlung via Express Transit über das Smartphone. Wird eine Transaktion angefordert, genügt ein einfacher Klick auf dem gesperrten Smartphone und schon ist das Geld beim Empfänger. Dieser eine letzte Klick kann leicht ungewollt passieren, wenn der Nutzer schnell etwas „wegklickt“, weil er gerade an etwas anderem interessiert ist oder wenn dieser eine Klick von einem Fremden unbemerkt ausgelöst wird, beispielsweise im Cafe oder in der überfüllten Bahn. Denn im Gegensatz zur Kreditkarte, die man meist in seinem Portemonnaie aufbewahrt und nur dann herausholt, wenn die Zahlung am Terminal tatsächlich ansteht, ist das Handy viel öfter und sichtbar präsent, beispielsweise auf einem Tisch.
Zahlung trotzt PIN-Code, Fingerabdruck oder Gesichtserkennung
Damit das Smartphone nicht missbraucht werden kann, sperren wir es gemeinhin mit einem Pincode oder einem alternativen Authentifizierungsmechanismus wie Fingerabdruck oder Gesichtserkennung. Doch leider schalten Nutzer immer wieder Telefonfunktionen auf dem Sperrbildschirm frei und verringern so die Sicherheit, die der Sperrbildschirm in erster Linie ja bieten soll – ganz gleich, ob es darum geht, dass Benachrichtigungen und persönliche Nachrichten angezeigt werden, während das Telefon gesperrt ist, oder um die Verwendung der Apple Pay Express Transit-Funktion zu nutzen.
Die Forscher, die hinter der noch zu veröffentlichenden Arbeit stehen, behaupten nun, dass sie in der Lage waren, iPhones unter sorgfältig vorbereiteten Umständen zu betrügerischen Zahlungen zu verleiten. Sie stellten ihr eigenes Zahlungsterminal auf und tarnten es als das öffentliche Verkehrsunternehmen, das Teil des Express-Transit-Zahlungssystems war.
Forscher buchten wohl bis zu 1.000 Euro ab!
Offenbar gelang ihnen der Diebstahl nur mit Visa-Kartenkonten (vermutlich waren andere Zahlungsanbieter strenger bei der Entscheidung, ob Zahlungsterminal X wirklich zu Unternehmen Y gehörte), und noch viel schlimmer: die Zahlungen waren nicht durch das übliche Limit von rund 50 Euro begrenzt. Die Forscher behaupten, dass sie durch die Verwendung eines betrügerischen Zahlungsterminals Transaktionen von bis zu über 1.000 Euro vornehmen konnten.
Apple Pay Express Transit: Was ist zu tun?
Trotz dieses dramatischen Ergebnisses müssen iPhone-Besitzer nun nicht in Panik verfallen, der Bericht ist allerdings Anlass, sich erneut mit der Nutzung des eigenen Smartphones auseinanderzusetzen. Nutzer sollten die Ausnahmen, die sie auf dem gesperrten Handy zulassen, generell gründlich überdenken. Ist es wirklich eine Belastung, bei jeder Aktion den Sperrcode eingeben zu müssen? Wenn man das mit Ja beantwortet, muss man mit den Risiken leben. Für alle anderen, die sich mit einem Entsperrvorgang sicherer fühlen, gibt es hier noch ein paar Tipps:
- Verzicht auf Express Transit und alle anderen Funktionen, die auf dem Sperrbildschirm aktiv sind. Diese Optionen opfern unweigerlich die Sicherheit zugunsten der Bequemlichkeit.
- Express Transit in Verbindung mit einer Visa-Karte sollte vorerst vermieden werden. Um Visa gegenüber fair zu sein, gehen wir davon aus, dass mit genügend Aufwand ähnliche Umgehungstricks auch für andere Zahlungsanbieter gefunden werden könnten. Ist man wirklich besorgt und kann ohne Express Transit nicht leben, sollte eine Prepaid-Debitkarte mit einem moderaten Guthaben eingerichtet werden. Zumindest ist dann ein Diebstahl nur für das Guthaben und nicht für den Kreditrahmen einer Kreditkarte möglich.
- Niemals das Telefon unbeaufsichtigt liegen lassen und nur herausholen, wenn es gerade benutzt wird. Ansonsten, in der Hand halten oder in der Tasche haben.
- Man sollte den bestmöglichen Sperrcode nutzen und die kürzeste Zeitspanne für die automatische Sperre. Ein gesperrtes Telefon ist eine kleine Unannehmlichkeit, aber eine große Hürde für Betrüger, sogar für die technisch Versierten. Ein ungesperrtes Telefon hingegen ist ein offenes Ziel für jeden, auch für schlichte Gelegenheitsverbrecher.
- Bank- und Zahlungskartenabrechnungen regelmäßig prüfen. Wenn man Express Transit für regelmäßige und vorhersehbare Zahlungen, beispielsweise im öffentlichen Verkehr nutzt, fallen unnormale Buchungen schnell ins Auge.
Über Sophos Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.