Apple Pay: Geldklau per Express-ÖPNV?
Wer hinter Apple Pay eine VISA-Karte hinterlegt, könne theoretisch Probleme mit Express-ÖPNV bekommen.
Logos: Apple/Visa, Foto: Apple, Montage: teltarif.de
Britische Sicherheitsexperten der Universitäten von Surrey und Birmingham haben die Public-Transport-Funktion (in Deutschland "Express-ÖPNV-Funktion") ausgiebig getestet und herausgefunden, dass unerwünschte Visa-Kartenzahlungen möglich sein können.
Was ist die Express-ÖPNV-Karte?
Wer hinter Apple Pay eine VISA-Karte hinterlegt, könne theoretisch Probleme mit Express-ÖPNV bekommen.
Logos: Apple/Visa, Foto: Apple, Montage: teltarif.de
Beim Durchschauen der Einstellungen von mobiles Bezahlen (Einstellungen - Wallet & Apple Pay) wird dem ein oder anderen iPhone-Nutzer schon die Funktion Express-ÖPNV-Karte aufgefallen sein. Sie erlaubt es, ohne Face-ID, Fingerabdruck oder PIN-Code Tickets im öffentlichen Nahverkehr zu kaufen.
VISA-Karten ungewollt belastbar
Doch die Forscher finden, dass sich dieses sinnvolle Feature in Apples NFC-Bezahldienst Apple Pay zum "Abziehen" größerer Geldsummen speziell von VISA-Karten nutzen lasse. "Express ÖPNV" aktiviert Kartenzahlungen auch dann, wenn das iPhone oder die Apple Watch gesperrt sind. Es gelten weitere Bedingungen, die die Forscher simulieren konnten.
So funktioniert es richtig
Express-ÖPNV funktioniert unseres Wissens in Deutschland noch nicht. In Großstädten wie London oder New York kann man mit Express ÖPNV die Ticketsperren der U-Bahn ("Tube", "Underground") durchlaufen, in dem man seine Apple-Hardware kurz an die Lesegeräte hält. In London ist das ein Check-in/Check-out-Verfahren. Von der Karte wird am Schluss die jeweilige (günstigste) Fahrstrecke abgebucht. In New York zahlt man einen Einheitspreis sofort.
Man nehme ein Android-Phone
Die Forscher nahmen ein Android-Telefon mit einer speziell entwickelten App, um einem iPhone-Benutzer bis zu 1000 britische Pfund (ca. 1200 Euro) über kontaktloses Visa-Bezahlen zu stehlen. Man braucht aber nicht nur die Spezial-App, sondern auch noch etwas funkende Hardware, die sich gegenüber dem iPhone oder der Apple Watch dann als Ticketkontrolle ausgibt, um die Express-ÖPNV-Funktion überhaupt erst zu aktivieren.
Betrifft offenbar nur VISA
Wie die Sicherheitsexperten gegenüber dem britischen Sender BBC erklärten, soll es eine Schwäche in der Umsetzung der Express-ÖPNV-Funktion bei VISA geben. Auch Apple gibt die Verantwortung an VISA weiter. Apple hält das Verfahren weiter für "sicher", weil solche Angriffe außerhalb eines Labors nicht praktisch umsetzbar wären.
Apples betont, "jede Sicherheitsbedrohung sehr ernst" zu nehmen. Der Kartenanbieter Visa glaube nicht, dass "diese Art von Betrug in der realen Welt wahrscheinlich" sei, da es "mehrere Sicherheitsschichten" gebe. Sollte trotzdem eine solche Zahlung erfolgen, könnten Nutzer diese natürlich ablehnen. Die Kunden seien durch eine Visa-"Zero Liability"-Regelung abgesichert.
Lücke im Labor ausprobiert
Laut BBC wurden Apple und Visa bereits vor einem Jahr auf das Problem aufmerksam gemacht. Visa betont, "Variationen von kontaktlosen Betrugsversuchen" im Labor probiert zu haben und das seit mehr als 10 Jahren. Auch die Forscher räumen ein, dass der "Hack" etwas kompliziert ist. Da die möglichen Gewinne aber hoch sind, könnte sich das trotzdem lohnen.
Was können Nutzer tun?
Wer absolut auf Nummer sicher gehen will, sollte die Funktion "Express ÖPNV" deaktiviert lassen. Geht man durch eine Sperre der U-Bahn mit Bezahlschranke, müsste man bei jedem Bezahlvorgang an der Watch zweimal drücken oder das iPhone per Face ID oder Touch ID entsperren.
VISA könnte das Problem elegant lösen, in dem bei dieser Zahlungslösung der maximale Betrag deutlich reduziert wird. Wer fährt schon für fast 1200 Euro U-Bahn?
Der Ethno-Provider Ay Yildiz bietet aktuell mehr Datenvolumen.