Das Express-ÖPNV-Feature in iPhone und Apple Watch erlaubt ein bequemes Zahlen von Tickets bei unterstützten Verkehrsgesellschaften mittels Apple Pay. Eine Visa-Karte kann hier zum Beispiel hinterlegt werden, um mit geringem Aufwand an einer Ticketbarriere für die Fahrt zu zahlen. Das Gerät muss dabei nicht entsperrt oder geweckt werden. Die Validierung über Face ID, Touch ID oder per Code entfällt also.
Visa-Lücke erlaubt unerwünschte Abbuchungen
Wie die BBC berichtet, haben Sicherheitsexperten der Universitäten von Birmingham und Surrey nun jedoch einen Fehler in dem System entdeckt. Der Fehler ist laut den Forschern nur dann nutzbar, wenn eine Visa-Karte als Zahlungsmittel ausgewählt wurde. In den Laborversuchen war das „Abbuchen“ von 1.000 britischen Pfund möglich. Beim Einsatz einer Mastercard tritt der Fehler nicht auf.
Die BBC beschreibt den Angriff in groben Zügen, lässt jedoch absichtlich wichtige Details außen vor, um es etwaigen Nachahmern nicht zu leicht zu machen. Der erste Teil des Systems ist die Funkhardware, welche den Kontakt zum iPhone aufnimmt und sich diesem gegenüber als Ticketbarriere ausgibt.
Der zweite Teil ist eine von den Forschern entwickelte App, die auf einem Android-Smartphone läuft. Diese Kombination aus App und Smartphone leitet die Signale vom iPhone weiter. Es kommuniziert gleichzeitig mit einem herkömmlichen NFC-Terminal, wie es in vielen Geschäften zu finden ist.
Da das iPhone denkt, dass der Nutzer an einer Ticketbarriere bezahlt, muss man es nicht entsperren. Auf der anderen Seite wird die weitergeleitete Kommunikation des iPhones mit dem NFC-Terminal so manipuliert, dass das Terminal ein entsperrtes iPhone sieht und für eine Zahlung freigegeben wurde.
Die Forscher sagten, dass sich das Android-Gerät und NFC-Terminal nicht in der Nähe des iPhones befinden müssen. „Es kann auf einem anderen Kontinent als das iPhone sein, solange eine Internetverbindung besteht“, sagte Dr. Ioana Boureanu von der University of Surrey.
Die Forscher haben die Versuche derzeit nur im Labor durchgeführt. Man habe außerdem keine Hinweise darauf, dass Kriminelle die Lücke aktiv ausnutzen.
Forscher warnten Unternehmen bereits vor langer Zeit
Die Sicherheitsexperten haben sich laut der BBC bereits vor fast einem Jahr bei Apple und Visa gemeldet und den Fehler berichtet. Visa bezeichnete den Angriff als „nicht praktikabel“. Man habe Variationen des Betrugs mit Hilfe von kontaktlosen Zahlungen im Labor für mehr als zehn Jahre hinweg erforscht. Dies habe gezeigt, dass sie im großen Stil nicht praktikabel seien. Sollte man dennoch eine nicht autorisierte Zahlung bemerken, greife der Schutz von Visa, sodass Nutzer nicht für die Kosten aufkommen müssen.
Apple sagte gegenüber der BBC: „Wir nehmen jede Bedrohung der Sicherheit der Benutzer sehr ernst. Dies ist ein Problem bei einem Visa-System, aber Visa glaubt nicht, dass diese Art von Betrug in der realen Welt aufgrund der mehreren Sicherheitsebenen wahrscheinlich ist.“ Die Forscher testeten, wie bereits erwähnt, auch die Implementation mit einer hinterlegten Mastercard. Die Lücke kann in diesem Fall nicht ausgenutzt werden.
Wenn du auf Nummer sicher gehen willst, kannst du Express-ÖPNV in den Einstellungen vom iPhone unter Wallet & Apple Pay > Express-ÖPNV-Karte konfigurieren. Die Einstellungen für die Apple Watch findest du auf dem iPhone in der Watch-App ebenfalls unter Wallet & Apple Pay > Express-ÖPNV-Karte. Apple bietet eine ausführliche Anleitung zur Nutzung von Express-ÖPNV an.