Lässt sich Geld vom iPhone mit Apple Pay stehlen?

Lässt sich Geld vom iPhone mit Apple Pay stehlen?

Beitrag teilen

Laut einem englischen Forscher soll es eine offensichtliche Schwachstelle geben, mit der man Geld von einem gesperrten iPhone stehlen kann, wenn eine Visa-Karte mit Apple Pay Express Transit eingerichtet ist. Ein Kommentar von Sophos.

Komfort und Sicherheit verhalten sich in der IT oft ähnlich in ihrem Verhältnis zueinander wie Freiheit und Sicherheit. Das eine geht nur auf Kosten des anderen. Ein aktuelles Beispiel bietet die Apple Pay „Express Transit“-Funktionalität: kleine Beträge lassen sich bequem bezahlen, trotz Sperrcode. Doch das lässt sich nach jüngsten Berichten fatal ausnutzen. Paul Ducklin, Sophos Security-Experte, erklärt das Problem.

Anzeige

Englischer Forscher findet iPhone-Schwachstelle

Ein noch nicht veröffentlichtes Papier von Forschern aus dem Vereinigten Königreich hat Ende September wegen seiner dramatischen Behauptungen über Apple Pay Schlagzeilen gemacht: Demnach ermögliche es eine offensichtliche Schwachstelle, Geld von einem gesperrten iPhone zu stehlen, wenn eine Visa-Karte mit Apple Pay Express Transit eingerichtet ist.

Noch nie von Express Transit gehört? Es handelt sich um eine dieser cleveren Ideen, bei der Cybersicherheit zugunsten der Bequemlichkeit geopfert wird. Einfach ausgedrückt, lassen sich mit dieser Funktion einige Arten von Touch-to-Pay-Transaktionen durchführen, auch wenn das Telefon gesperrt ist – sofern Express Transit aktiviert ist.

Apple Pay-Zahlprinzip: Zahlen ohne weitere Freigabe

Mit Express Transit funktionieren Apple Pay und das iPhone ein bisschen wie eine normale Kreditkarte, die bei Transaktionen mit geringem Wert nicht mit einem PIN-Code freigegeben werden muss. In den meisten Ländern Europas liegt dieses Limit zwischen 25 und 50 Euro.

Ähnlich einfach ist die Bezahlung via Express Transit über das Smartphone. Wird eine Transaktion angefordert, genügt ein einfacher Klick auf dem gesperrten Smartphone und schon ist das Geld beim Empfänger. Dieser eine letzte Klick kann leicht ungewollt passieren, wenn der Nutzer schnell etwas „wegklickt“, weil er gerade an etwas anderem interessiert ist oder wenn dieser eine Klick von einem Fremden unbemerkt ausgelöst wird, beispielsweise im Cafe oder in der überfüllten Bahn. Denn im Gegensatz zur Kreditkarte, die man meist in seinem Portemonnaie aufbewahrt und nur dann herausholt, wenn die Zahlung am Terminal tatsächlich ansteht, ist das Handy viel öfter und sichtbar präsent, beispielsweise auf einem Tisch.

Zahlung trotzt PIN-Code, Fingerabdruck oder Gesichtserkennung

Damit das Smartphone nicht missbraucht werden kann, sperren wir es gemeinhin mit einem Pincode oder einem alternativen Authentifizierungsmechanismus wie Fingerabdruck oder Gesichtserkennung. Doch leider schalten Nutzer immer wieder Telefonfunktionen auf dem Sperrbildschirm frei und verringern so die Sicherheit, die der Sperrbildschirm in erster Linie ja bieten soll – ganz gleich, ob es darum geht, dass Benachrichtigungen und persönliche Nachrichten angezeigt werden, während das Telefon gesperrt ist, oder um die Verwendung der Apple Pay Express Transit-Funktion zu nutzen.

Die Forscher, die hinter der noch zu veröffentlichenden Arbeit stehen, behaupten nun, dass sie in der Lage waren, iPhones unter sorgfältig vorbereiteten Umständen zu betrügerischen Zahlungen zu verleiten. Sie stellten ihr eigenes Zahlungsterminal auf und tarnten es als das öffentliche Verkehrsunternehmen, das Teil des Express-Transit-Zahlungssystems war.

Forscher buchten wohl bis zu 1.000 Euro ab!

Offenbar gelang ihnen der Diebstahl nur mit Visa-Kartenkonten (vermutlich waren andere Zahlungsanbieter strenger bei der Entscheidung, ob Zahlungsterminal X wirklich zu Unternehmen Y gehörte), und noch viel schlimmer: die Zahlungen waren nicht durch das übliche Limit von rund 50 Euro begrenzt. Die Forscher behaupten, dass sie durch die Verwendung eines betrügerischen Zahlungsterminals Transaktionen von bis zu über 1.000 Euro vornehmen konnten.

Apple Pay Express Transit: Was ist zu tun?

Trotz dieses dramatischen Ergebnisses müssen iPhone-Besitzer nun nicht in Panik verfallen, der Bericht ist allerdings Anlass, sich erneut mit der Nutzung des eigenen Smartphones auseinanderzusetzen. Nutzer sollten die Ausnahmen, die sie auf dem gesperrten Handy zulassen, generell gründlich überdenken. Ist es wirklich eine Belastung, bei jeder Aktion den Sperrcode eingeben zu müssen? Wenn man das mit Ja beantwortet, muss man mit den Risiken leben. Für alle anderen, die sich mit einem Entsperrvorgang sicherer fühlen, gibt es hier noch ein paar Tipps:

  • Verzicht auf Express Transit und alle anderen Funktionen, die auf dem Sperrbildschirm aktiv sind. Diese Optionen opfern unweigerlich die Sicherheit zugunsten der Bequemlichkeit.
  • Express Transit in Verbindung mit einer Visa-Karte sollte vorerst vermieden werden. Um Visa gegenüber fair zu sein, gehen wir davon aus, dass mit genügend Aufwand ähnliche Umgehungstricks auch für andere Zahlungsanbieter gefunden werden könnten. Ist man wirklich besorgt und kann ohne Express Transit nicht leben, sollte eine Prepaid-Debitkarte mit einem moderaten Guthaben eingerichtet werden. Zumindest ist dann ein Diebstahl nur für das Guthaben und nicht für den Kreditrahmen einer Kreditkarte möglich.
  • Niemals das Telefon unbeaufsichtigt liegen lassen und nur herausholen, wenn es gerade benutzt wird. Ansonsten, in der Hand halten oder in der Tasche haben.
  • Man sollte den bestmöglichen Sperrcode nutzen und die kürzeste Zeitspanne für die automatische Sperre. Ein gesperrtes Telefon ist eine kleine Unannehmlichkeit, aber eine große Hürde für Betrüger, sogar für die technisch Versierten. Ein ungesperrtes Telefon hingegen ist ein offenes Ziel für jeden, auch für schlichte Gelegenheitsverbrecher.
  • Bank- und Zahlungskartenabrechnungen regelmäßig prüfen. Wenn man Express Transit für regelmäßige und vorhersehbare Zahlungen, beispielsweise im öffentlichen Verkehr nutzt, fallen unnormale Buchungen schnell ins Auge.
Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

ROC – Risk Operations Center in der Cloud

Branchenweit ist es das erste seiner Art: Das Risk Operations Center (ROC) mit Enterprise TruRisk Management (ETM). Die Qualys-Lösung ermöglicht ➡ Weiterlesen

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

Fünf lokale Schwachstellen in needrestart entdeckt

Ein Anbieter von Cloud-basierten IT-, Sicherheits- und Compliance-Lösungen, gab bekannt, dass die Qualys Threat Research Unit (TRU) fünf Local Privilege ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen