Apple-Pay-Sicherheit: Authentifizierung durch Bank weiterhin ein Problem

Wie Sicherheitsexperten von Pindrop berichten, bleiben die Banken eine signifikante Schwachstelle beim Diebstahl von Kreditkartendaten. Doch auch Apple selbst könnte die Sicherheit mit nur geringem Komfortverlust erhöhen. Während der Zahlvorgang von Apple Pay dank des anonymisierten Token-Systems sicher ist, offenbaren Tests signifikante Lücken bei der Einrichtung von Apple Pay auf einem iPhone oder der Apple Watch.

Schwachstelle Bank
Für Betrüger hat Apple Pay den Vorteil, dass im Gegensatz zu klassischen Verfahren kein physisches Kopieren der Kreditkarte notwendig ist. Es reicht aus, für ungefähr 2 Euro auf dem digitalen Schwarzmarkt einen Datensatz zu kaufen und als Apple-Pay-Konto einzurichten. Die Banken müssen allerdings hierfür die Kreditkarte freigeben und sind damit ein Sicherheitsfaktor, der aber noch recht häufig versagt. So vertrauen Banken zu oft auf einfache Datenabfragen und Telefongespräche zur Authentifizierung der Apple-Pay-Anmeldung.

Hierbei fragt die Bank nach persönlichen Daten des Kartenbesitzers, die in der heutigen Zeit nicht selten in Social Networks oder durch Suchdienste leicht zu beschaffen sind. In einem Fall wurden sogar nur die Kreditkartendaten selbst abgefragt, in einem anderen Fall musste der Name auf der Kreditkarte mit dem Namen des Apple-Pay-Kontos übereinstimmen. Schwieriger wird es, wenn ein Bestätigungscode bei E-Mail zugesandt wird, was in den vorliegenden Fällen aber nicht geschah.

Schwachstelle Apple
Es zeigte sich aber auch, dass Apple ebenfalls eine gewisse Schwachstelle darstellt. So können Nutzer bei der Einrichtung von Apple Pay mithilfe der Apple ID ihre bei iTunes hinterlegten Kreditkartendaten übernehmen. Als Bestätigung reicht in diesem Fall der dreistellige Validierungscode der Karte aus. In der Praxis konnte der Code durch Computer-gestütztes Ausprobieren schon in einer Stunde erraten werden.

Betrüger müssen daher unter Umständen nicht einmal die vollständigen Kreditkarten kennen, sondern lediglich die Zugangsdaten für die Apple ID und die dreistellige CCV-Nummer. Anschließend kann im Fall einer leichtgläubigen Bank das Apple-Pay-Konto freigeschaltet und in Geschäften mit Apple Pay auf Einkaufstour gegangen werden.

Weiterführende Links:

Kommentare

daschmc
daschmc03.03.16 12:10
Hat bei MTN heute morgen jemand den Panikhebel umgelegt? Oder laufen die Angsthasen vor Ostern schon nervös durchs Büro?!
Schon die dritte potentielle Sicherheitsbedrohung an diesem Tag 🤔
Chargeback03.03.16 12:43
Oh Gott, wenn man sowas liest bekommt man es mit der Angst zu tun...

Leichtgläubige Banken, Apple kümmert sich nicht, alles schlimm, nur nicht in der Realität.

Wer seine Kunden nicht über einen sicheren Weg authentifizieren kann, der hat ein Problem für das er die Haftung trägt. Das ist nichts generelles, das ist standardisiert mit eindeutigen Haftungsregeln, wenn eine Partei unsicherer ist als die andere. Keiner will die Haftung tragen, also ist jeder Beteiligte bestrebt einen hohen Sicherheitsstandard in seiner Domain einzusetzen. Das ist letztlich kein Nachteil, sondern ein Vorteil, dass jeder Kartenheruasgeber ein eigenes sicheres Verfahren zur Kundenauthentisierung einsetzen kann und dennoch kompatibel gegenüber den Standards des Systems bleibt. Das liest man ja immer in der Presse oder in den Panik-News, dass das Kartensysteme kompromittiert wurden, alles unsicher sei, wird da gleich interpretiert, usw. Mitnichten der Fall. Wenn ein Beteiligter seine eigenen Kunden in seiner Domain durch veraltete oder unsicherere Verfahren als andere authentifiziert, ob über veraltete chipbasierte Verfahren, oder im Bereich Freischaltung für eCommerce oder Walletssysteme, wie Apple Pay, dann ist das nicht pauschal schlimm so oder generell der Fall, sondern dessen ureigenes Problem Und in Folge das seiner Kunden. In der Regel gilt hier aber für Kunden Zero Liability oder Haftung nur bei grober Fahrlässigkeit.

Als Kunde sollte man sich aber schon fragen, wievielen und welchen Parteien man seine persönlichen Zahlungsdaten denn so aushändigen will, über die Beziehung mit seiner Bank hinaus. Die Bank ist meist nicht der unsichere Faktor... Zumindest nicht in Deutschland.
sierkb04.03.16 10:27
heise (03.03.2016): Kreditkartenbetrug mit Apple Pay: Kritik an fehlenden Schutzmaßnahmen
Apple und Banken unternehmen nicht genug, um das Hinzufügen von geklauten Karten zu unterbinden, moniert ein Sicherheitsforscher. Im Unterschied zu Android Pay sei bei Apple Pay das ungehinderte Durchprobieren der Kartenprüfnummer möglich.

Golem (03.03.2016): Security: RSA 2016: Wie Betrüger Apple Pay missbrauchen können
Apple Pay ist praktisch und gilt als sicher. Doch das System lässt sich von Kriminellen missbrauchen, um digitale Kreditkartenkopien zu erstellen.

Forbes (01.03.2016): Here's proof Apple Pay is useful for stealing people's money

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen