Lücke?

Apple Pay: Geldklau per Express-ÖPNV?

Mobiles Bezahlen mit Uhr oder Smart­phone ist prak­tisch. Für den Öffent­lichen Nahver­kehr hat Apple eine Express-ÖPNV-Funk­tion, die könnte in Verbin­dung mit VISA-Karten ausge­hebelt werden.

Wer hinter Apple Pay eine VISA-Karte hinterlegt, könne theoretisch Probleme mit Express-ÖPNV bekommen. Wer hinter Apple Pay eine VISA-Karte hinterlegt, könne theoretisch Probleme mit Express-ÖPNV bekommen.
Logos: Apple/Visa, Foto: Apple, Montage: teltarif.de
Briti­sche Sicher­heits­experten der Univer­sitäten von Surrey und Birmingham haben die Public-Trans­port-Funk­tion (in Deutsch­land "Express-ÖPNV-Funk­tion") ausgiebig getestet und heraus­gefunden, dass uner­wünschte Visa-Karten­zah­lungen möglich sein können.

Was ist die Express-ÖPNV-Karte?

Wer hinter Apple Pay eine VISA-Karte hinterlegt, könne theoretisch Probleme mit Express-ÖPNV bekommen. Wer hinter Apple Pay eine VISA-Karte hinterlegt, könne theoretisch Probleme mit Express-ÖPNV bekommen.
Logos: Apple/Visa, Foto: Apple, Montage: teltarif.de
Beim Durch­schauen der Einstel­lungen von mobiles Bezahlen (Einstel­lungen - Wallet & Apple Pay) wird dem ein oder anderen iPhone-Nutzer schon die Funk­tion Express-ÖPNV-Karte aufge­fallen sein. Sie erlaubt es, ohne Face-ID, Finger­abdruck oder PIN-Code Tickets im öffent­lichen Nahver­kehr zu kaufen.

VISA-Karten unge­wollt belastbar

Doch die Forscher finden, dass sich dieses sinn­volle Feature in Apples NFC-Bezahl­dienst Apple Pay zum "Abziehen" größerer Geld­summen speziell von VISA-Karten nutzen lasse. "Express ÖPNV" akti­viert Karten­zah­lungen auch dann, wenn das iPhone oder die Apple Watch gesperrt sind. Es gelten weitere Bedin­gungen, die die Forscher simu­lieren konnten.

So funk­tio­niert es richtig

Express-ÖPNV funk­tio­niert unseres Wissens in Deutsch­land noch nicht. In Groß­städten wie London oder New York kann man mit Express ÖPNV die Ticket­sperren der U-Bahn ("Tube", "Under­ground") durch­laufen, in dem man seine Apple-Hard­ware kurz an die Lese­geräte hält. In London ist das ein Check-in/Check-out-Verfahren. Von der Karte wird am Schluss die jewei­lige (güns­tigste) Fahr­strecke abge­bucht. In New York zahlt man einen Einheits­preis sofort.

Man nehme ein Android-Phone

Die Forscher nahmen ein Android-Telefon mit einer speziell entwi­ckelten App, um einem iPhone-Benutzer bis zu 1000 briti­sche Pfund (ca. 1200 Euro) über kontakt­loses Visa-Bezahlen zu stehlen. Man braucht aber nicht nur die Spezial-App, sondern auch noch etwas funkende Hard­ware, die sich gegen­über dem iPhone oder der Apple Watch dann als Ticket­kon­trolle ausgibt, um die Express-ÖPNV-Funk­tion über­haupt erst zu akti­vieren.

Betrifft offenbar nur VISA

Wie die Sicher­heits­experten gegen­über dem briti­schen Sender BBC erklärten, soll es eine Schwäche in der Umset­zung der Express-ÖPNV-Funk­tion bei VISA geben. Auch Apple gibt die Verant­wor­tung an VISA weiter. Apple hält das Verfahren weiter für "sicher", weil solche Angriffe außer­halb eines Labors nicht prak­tisch umsetzbar wären.

Apples betont, "jede Sicher­heits­bedro­hung sehr ernst" zu nehmen. Der Karten­anbieter Visa glaube nicht, dass "diese Art von Betrug in der realen Welt wahr­schein­lich" sei, da es "mehrere Sicher­heits­schichten" gebe. Sollte trotzdem eine solche Zahlung erfolgen, könnten Nutzer diese natür­lich ablehnen. Die Kunden seien durch eine Visa-"Zero Liabi­lity"-Rege­lung abge­sichert.

Lücke im Labor auspro­biert

Laut BBC wurden Apple und Visa bereits vor einem Jahr auf das Problem aufmerksam gemacht. Visa betont, "Varia­tionen von kontakt­losen Betrugs­ver­suchen" im Labor probiert zu haben und das seit mehr als 10 Jahren. Auch die Forscher räumen ein, dass der "Hack" etwas kompli­ziert ist. Da die mögli­chen Gewinne aber hoch sind, könnte sich das trotzdem lohnen.

Was können Nutzer tun?

Wer absolut auf Nummer sicher gehen will, sollte die Funk­tion "Express ÖPNV" deak­tiviert lassen. Geht man durch eine Sperre der U-Bahn mit Bezahl­schranke, müsste man bei jedem Bezahl­vor­gang an der Watch zweimal drücken oder das iPhone per Face ID oder Touch ID entsperren.

VISA könnte das Problem elegant lösen, in dem bei dieser Zahlungs­lösung der maxi­male Betrag deut­lich redu­ziert wird. Wer fährt schon für fast 1200 Euro U-Bahn?

Der Ethno-Provider Ay Yildiz bietet aktuell mehr Daten­volumen.

Mehr zum Thema Mobile Payment