22. Oktober 2021

Apple Pay: unerlaubte Abbuchungen über Express-ÖPNV-Funktion bei gesperrten Geräten möglich

Mit dem Feature „Express ÖPNV“ des NFC-Bezahldiensts Apple Pay sind Zahlungen im öffentlichen Nahverkehr unkompliziert und schnell möglich. Doch wie ein Team von IT-Security-Spezialisten an den Universitäten Birmingham und Surrey herausfand, lassen sich auf diese Weise auch größere Summen von VISA-Karten abbuchen. Die sogenannte Express-Transit-Funktion, oder „Express ÖPNV“, aktiviert Kartenzahlungen – unter bestimmten Rahmenbedingungen – nämlich auch dann, wenn das iPhone bzw. die Apple Watch gesperrt ist.

Was ist Express ÖPNV?

Um das schnelle und einfache Passieren von Bezahlschranken im öffentlichen Personennahverkehr zu erlauben, hat Apple seiner Bezahlfunktion Apple Pay das optionale Feature Express-ÖPNV hinzugefügt. Anders als bei normalem „Apple Pay“-Zahlungen liegt hier der Fokus ganz klar auf der Beschleunigung des Bezahlvorgangs, weshalb bei der Eintrittskontrolle auf eine Verifizierung per Face ID, Touch ID oder Passcode verzichtet wird. In Städten in Japan, England und den USA kann man mit Express ÖPNV dann einfach die Ticketbarrieren durchschreiten, indem man das Apple-Gerät an die Lesegeräte hält.

Sicherheitslücke im Express-ÖPNV-Modus

Forscher in Großbritannien haben nun bei Tests festgestellt, dass sich der Express-ÖPNV-Modus austricksen lässt. Dafür muss das Apple-Gerät nicht mal entsperrt sein. Dem Forscherteam gelang es, einem iPhone-Nutzer mithilfe eines Android-Telefons mit einer speziell entwickelten App bis zu 1000 £ über kontaktloses Bezahlen zu stehlen. Das sei derzeit allerdings nur bei Abbuchungen von VISA-Karten möglich, so die Sicherheitsspezialisten. Für den Diebstahl ist neben der App noch eine spezielle Funkhardware notwendig, die sich gegenüber dem Apple-Gerät als Ticketbarriere ausgibt, um die Express-ÖPNV-Funktion zu aktivieren.

Uneinigkeit zwischen Apple und Visa

Laut Angaben der Sicherheitsexperten sei das Problem auf eine Sicherheitslücke bei Visas Umsetzung von Express ÖPNV zurückzuführen, könne aber sowohl von Visa als auch von Apple problemlos unterbunden werden. Beide Unternehmen wurden bereits vor einem Jahr über das Problem informiert. Bisher konnte jedoch kein Konsens darüber erreicht werden, wer nun für die Fehlerbehebung zuständig ist. Außerdem verwiesen sie darauf, dass diese Art von Angriff außerhalb des Labors kaum praktikabel und mit einem hohen technischen Aufwand verbunden sei. Die Forscher sind jedoch der Ansicht, dass sich der Aufwand für Betrüger aufgrund der hohen Beträge, die auf diese Weise abgegriffen werden können, durchaus lohnen kann. Von Visa hieß es weiter, dass Nutzer solche unerwünschten Zahlungen immer noch ablehnen könnten und zudem durch die Visa-„Zero Liability“-Politik geschützt seien.

Wie können sich Apple-Nutzer schützen?

Der beste Schutz für Apple-User ist aktuell, die Express-ÖPNV-Funktion einfach zu deaktivieren, sodass das Gerät bei jedem Bezahlvorgang an einer Ticketbarriere per Face oder Touch ID entsperrt werden muss.

So attraktiv die verschiedenen Möglichkeiten des kontaktlosen Bezahlens per Smartphone oder Karte auch sind, so bringt die zunehmende Zahl an Bezahlfunktionen doch auch immer mehr und immer neue Risiken mit sich. Betrüger nutzen längst nicht mehr nur Phishing oder andere Cyber-Attacken für ihre Zwecke. Wenn auch Sie Opfer eines Betrugsangriffs geworden sind, stehen wir Ihnen in unserer Kanzlei gerne zur Seite, um möglichst große Teile ihres Geldes zu retten. Vereinbaren Sie hierzu einfach einen Termin für ein kostenloses Erstberatungsgespräch.

Guido Lenné
Guido Lenné

Rechtsanwalt aus der Anwaltskanzlei Lenné.
Rechtsanwalt Lenné ist auch Fachanwalt für Bank- und Kapitalmarktrecht.

Wir helfen Ihnen gerne! Kontaktieren Sie uns. Oder vereinbaren Sie hier online einen Termin für eine telefonische kostenfreie Erstberatung.

5/5 Sterne (6 Stimmen)

Zurück

Navigation öffnen Schließen E-Mail Telefon Suche Online-Terminvereinbarung Mehr lesen