Es ist das Albtraumszenario eines jeden, der bargeldlose Bezahlung auf dem Smartphone verwendet: Hacker nutzen drahtlose Technologien, um willkürliche Beträge abzuzapfen. Um dies zu verhindern, muss jede Zahlung am iPhone oder der Apple Watch bestätigt werden. Allerdings gibt es eine Ausnahme, und diese könnten Betrüger nutzen, um Beträge ohne Authentifizierung abzubuchen. Der YouTube-Kanal Veritasium führt vor, dass es geht: Eine Anforderung von 10.000 Dollar von der Kreditkarte des Kollegen MKBHD wird ohne Nachfrage am iPhone durchgewunken.


Anschließend erklären die Journalisten, welche Ausnahmen die illegitime Abbuchung möglich machten. Es handelt sich um eine Mittelsmann-Attacke, in der ein NFC-Gerät mit einem PC verbunden ist. Dieser verändert die Transaktionsdaten und sendet diese an ein zweites Smartphone, welches wiederum mit einem handelsüblichen Bezahlterminal verbunden ist.

ÖPNV-Modus
Der Hack gaukelt dem iPhone vor, dass eine Express-ÖPNV-Zahlung vorgenommen wird und behauptet zudem, dass es sich bei dem Betrag um eine geringe Summe handelt. In diesem Fall ist eine Bezahlung ohne Bestätigung via beispielsweise Face ID möglich. Dies wurde für eine schnelle Bezahlung etwa in der U-Bahn entwickelt und nennt sich Apple Pay Express. Apple Pay überprüft weder Standort noch Summe, sondern akzeptiert dies, wenn ein Bezahlterminal dies behauptet.

Nur mit Visa-Karte
Daraufhin sendet das iPhone eine Authentifizierung für eine Zahlung im niedrigen Wert; diese wird wiederum abgefangen und für das Bezahlterminal modifiziert: Das zweite Smartphone gaukelt nun vor, es handele sich um eine normale, vom Nutzer freigegebene Transaktion. Das gelingt nur bei Visa-Karten, da diese bei standardmäßigen Bezahlvorgängen ausschließlich auf symmetrische Verschlüsselung setzen. MasterCard und andere verwenden hingegen durchgehend asymmetrische Verfahren, was eine derartige Attacke verhindert.

Bekannt seit 2021
Die Sicherheitslücke wurde bereits vor fünf Jahren von britischen Forschern aufgedeckt. Sie funktioniert nur mit iPhones – Samsung setzt Zahlungen im Express-Modus standardmäßig auf einen Wert von null und erwartet nachträgliche Wertangaben für die Bezahlvorgänge seitens der Beförderungsunternehmen. Auf Rückfrage antwortete Apple, Visa halte dieses Szenario für unrealistisch und decke es mit der „Zero Liability Policy“ ab. Betroffene können also ihr Geld zurückfordern. Die Sicherheitsforscher raten dazu, Apple Pay Express für Visa-Karten zu deaktivieren – dies gelingt in der Einstellungen-App unter „Wallet & Apple Pay/Express-ÖPNV-Karte“.