Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple Pay & "Express ÖPNV": Angreifer können unbemerkt Geld abbuchen

Wer mit Apple Pay und iPhone kontaktlos bezahlen möchte, muss das Gerät bekanntlich zuvor entsperren, etwa mit Face ID oder dem Passcode. Der Zahlungsdienst des kalifornischen Unternehmens beinhaltet allerdings eine praktische Funktion, welche ohne diese Sicherheitsmaßnahme zur Verfügung steht: In großen Städten wie beispielsweise New York und London kann man die U-Bahn nutzen, indem man das Smartphone oder die Apple Watch einfach im gesperrten Zustand an ein entsprechendes NFC-Lesegerät hält. Der Ticketpreis wird dann ohne weiteres Zutun des Nutzers automatisch vom hinterlegten Kreditkartenkonto abgebucht.


Kontaktlos bis zu 1.000 Britische Pfund "erbeutet"
Britische Wissenschaftler nahmen dieses von Apple "Express ÖPNV" genannte Feature jetzt unter die Lupe. Dabei entdeckten sie eine Schwachstelle, welche Hackern den Zugriff auf die Funktion für ihre Zwecke erlaubt ( PDF-Datei). Angreifer können dadurch unter Umgehung der Sicherheitsmechanismen des Sperrbildschirms Zahlungen veranlassen und somit größere Beträge abgreifen. Die Sicherheitsforscher setzten dabei ein Android-Smartphone mit NFC-Schnittstelle sowie handelsübliche Funk-Hardware ein. Die Geräte gaben sich einem iPhone gegenüber als Ticketschranke aus, woraufhin dieses den angeforderten Betrag mit Apple Pay freigab und die Zahlung veranlasste. Auf diese Art und Weise konnten die Wissenschaftler kontaktlos bis zu 1.000 Britische Pfund "erbeuten".

Schwachstelle betrifft "Express ÖPNV" mit Visa-Karte
Ein entsprechender Angriff funktioniert den Sicherheitsforschern zufolge, wenn in den Einstellungen von Apple Pay für Express ÖPNV eine Visa-Karte hinterlegt ist. Ursache hierfür ist die besondere Art und Weise, auf welche diese in das Feature integriert ist. Andere Kreditkartenanbieter, etwa Mastercard, oder Zahlungsdienste wie Samsung Pay sind nicht von der Schwachstelle betroffen. Die an den Universitäten von Birmingham und Surrey tätigen Wissenschaftler gehen davon aus, dass derartige Angriffe durchaus auch von Hackern in freier Wildbahn ausgeführt werden könnten. Visa widerspricht dieser Einschätzung allerdings: Gegenüber ZDNet teilte das Unternehmen mit, dass sich solche Attacken außerhalb von Laboren nicht praktisch durchführen ließen. Apple wies der BBC zufolge darauf hin, dass bei Kreditkartenzahlungen weitere Sicherheitsmaßnahmen ergriffen werden, durch die betrügerische Aktivitäten schnell entdeckt würden.

Kommentare

Wiesi
Wiesi01.10.21 11:53
....Apple wies der BBC zufolge darauf hin, dass bei Kreditkartenzahlungen weitere Sicherheitsmaßnahmen ergriffen werden, durch die betrügerische Aktivitäten schnell entdeckt würden....

Offensichtlich nicht soooo schnell, daß die Forscher nicht vorher noch
bis zu 1.000 Britische Pfund "erbeuten".
konnten.

Hinweis: Bis zu1000 Pfund kann natürlich auch 1 Pfund sein. (Bekannter Trick bei der Bewerbung von Versicherungsleistungen.)
Everything should be as simple as possible, but not simpler
+3
Mecki
Mecki01.10.21 14:52
Die Sicherheitsforscher setzten dabei ein Android-Smartphone mit NFC-Schnittstelle sowie handelsübliche Funk-Hardware ein.
Was nicht möglich gewesen wäre, wenn die NFC Schnittstelle des Android-SmartPhones nicht komplett offen gewesen wäre, sondern sich nur für bestimmte vom Betriebssystem freigegebenen Dienste nutzen lässt, so wie das unter iOS der Fall ist, richtig? Wenn also Apple sagt, es ist gefährlich Apps komplett freien Zugriff auf die NFC Schnittstelle zu geben, dann mag das ein vorgeschobenes Argument sein, damit Apple Pay weniger Konkurrenz bekommt, aber es ist kein komplett aus der Luft gegriffenes Argument und eine Freigabe vereinfacht derartige Angriffe natürlich erheblich.

Wiesi
Offensichtlich nicht soooo schnell, daß die Forscher nicht vorher noch
bis zu 1.000 Britische Pfund "erbeuten".
konnten.
Da steht nirgendwo, dass sie die 1000 Pfund auch erhalten haben. Erfolgreich eine Abbuchung an einem Bezahlterminal in Auftrag zu geben ist eine Sache, faktisch am Ende auch wirklich Geld ausbezahlt zu bekommen ist aber eine andere. Die Betrugserkennung der Kreditkartenunternehmen funktioniert nicht in Echtzeit und Auszahlungen erfolgen erst nach einer zeitlichen Verzögerung und wenn hier eine Unregelmäßigkeit auftritt, dann erfolgt sie gar nicht, bis sich der Händler oder der Kunde mit der Bank in Verbindung gesetzt hat. Auch können Kreditkartenunternehmen Gelder rückbuchen.

Meine eine Kreditkarte wurde z.B. mal gesperrt, was ich erst bemerkt habe, als ich damit online was bestellen wollte (da war sie bereits mehrere Tage gesperrt, die Nachricht von der Bank hatte ich übersehen oder für SPAM gehalten). Ich habe darauf die Bank angerufen was da los ist du meinten, da waren drei verdächtige Abbuchungen. Die ersten beiden hat das System durchgelassen, die dritte hat es dann gesperrt und zur Sicherheit auch gleich die Karte. Er hat mir dann am Telefon die anderen beiden vorgelesen und gefragt ob die mir was sagen; taten sie nicht. Also meinte er "Ist kein Problem, die Buchen wir einfach zurück". Zur Sicherheit habe ich dann auch gleich kostenfrei eine neue Karte mit einer neuen Nummer bekommen.
+1
Peter Longhorn01.10.21 16:57
Mecki
Die Sicherheitsforscher setzten dabei ein Android-Smartphone mit NFC-Schnittstelle sowie handelsübliche Funk-Hardware ein.
Was nicht möglich gewesen wäre, wenn die NFC Schnittstelle des Android-SmartPhones nicht komplett offen gewesen wäre, sondern sich nur für bestimmte vom Betriebssystem freigegebenen Dienste nutzen lässt, so wie das unter iOS der Fall ist, richtig? Wenn also Apple sagt, es ist gefährlich Apps komplett freien Zugriff auf die NFC Schnittstelle zu geben, dann mag das ein vorgeschobenes Argument sein, damit Apple Pay weniger Konkurrenz bekommt, aber es ist kein komplett aus der Luft gegriffenes Argument und eine Freigabe vereinfacht derartige Angriffe natürlich erheblich.
Was für ein vollkommener Bullshit...
Könnte man Messer nicht mehr frei zum Schneiden von Fleisch verwenden würde das sämtliche Morde unterbinden! Ich bin dafür nur noch freigegebene Buttermesser zu erlauben!!!!
+2
stromsparmodus01.10.21 21:11
MTN
Britische Wissenschaftler nahmen dieses von Apple "Express ÖPNV" genannte Feature jetzt unter die Lupe.
Ich würde nicht gerade "jetzt" sagen. Auch sonst steht in dem ZDNet Artikel mehr ...
https://www.zdnet.com/article/researchers-discover-bypass-bug-in-iphone-visa-apple-pay-to-make-contactless-payments/
Speaking to ZDNet, the researchers said that Apple was first contacted on October 23, 2020. The team then reached out to Visa in January, followed by a video call in February, and then a report was submitted to Visa's vulnerability reporting platform on May 10, 2021.
The academics say that while acknowledged by both parties, who have been spoken to "extensively," the issue remains unfixed.
...
Mecki

Was nicht möglich gewesen wäre, wenn die NFC Schnittstelle des Android-SmartPhones nicht komplett offen gewesen wäre, sondern sich nur für bestimmte vom Betriebssystem freigegebenen Dienste nutzen lässt, so wie das unter iOS der Fall ist, richtig? ...
Nein, vollkommen falsch. Das Tool, das man benutzt um eine Schwachstelle zu finden, ist nicht an der Schwachstelle schuld.
Sollen jetzt Drittanbieter-Zahlschnittstellen in Android stillgelegt werden, nur weil Apple und/oder Visa eine hinreichend lange bekannte Lücke nicht schließen wollen?
+2

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.