Apple Pay und Visa: Sicherheitslücke ermöglicht Diebstahl ohne Limit
Sicherheitsforscher haben einen Weg gefunden, betrügerische Zahlungen mit Apple Pay von einem gesperrten iPhone durchzuführen. Nicht alle kontaktlosen Zahlungen via Apple Pay sind dabei von der Schwachstelle betroffen.
Laut dem Bericht des Nachrichtensenders BBC kann Apple Pay mit Visa-Karten dazu genutzt werden, grenzenlose Transaktionen von einem gesperrten iPhone aus zu ermöglichen. Voraussetzung ist dafür der aktivierte Express-Modus. Die Methode gleicht einer digitalen Version des Taschendiebstahls, so der BBC. Sie funktioniert auch dann, wenn sich das iPhone in einer Tasche einer Person befindet. Es gibt laut den Forschern dabei auch kein Transaktionslimit.
Trick beim Bezahlen an der Kasse
Bei der Untersuchung von sogenannten Relay-Attacken auf kontaktlose Zahlungen haben Forscher der University of Birmingham und der University of Surrey in Großbritannien herausgefunden, dass iPhone-Geräte unter bestimmten Bedingungen betrügerische Transaktionen einfach bestätigen. Sie testeten den Angriff erfolgreich mit dem iPhone 7 und dem iPhone 12. Damit eine Zahlung durchgeführt werden kann, müssen iPhone-Benutzer sie normalerweise autorisieren, indem das Telefon mit Face ID, Touch ID oder einem Passcode entsperrt wird. Es gibt jedoch Ausnahmen, die zum Beispiel für eine schnelle Transaktion beim Bezahlen in öffentlichen Verkehrsmitteln gedacht ist.
Express Transit ist eine Funktion, mit der eine Transaktion ohne Entsperren des Geräts durchgeführt werden kann. Apple sieht dabei vor, dass die Express Transit-Funktion nur bei bestimmten Diensten, zum Beispiel an Fahrkartenschaltern funktioniert. Laut den Erkenntnissen der Forscher kann die Funktion allerdings in Kombination mit einer Visa-Karte dazu genutzt werden, den Sperrbildschirm von Apple Pay zu umgehen und mit einem beliebigen EMV-Lesegerät einen beliebigen Betrag zu bezahlen, ohne dass der Benutzer dies autorisiert oder auch nur bemerkt.
Die Forscher waren in der Lage, eine Ticket-Schranken-Transaktion zu emulieren, indem sie ein Proxmark-Gerät verwendeten, das als Kartenlesegerät fungierte und mit dem Ziel-iPhone und einem Android-Telefon mit NFC-Chip kommunizierte, das wiederum mit einem Zahlungsterminal kommunizierte. Der Angriff ist jedoch kompliziert und es ist nicht bekannt, dass es bereits eine aktive Ausnutzung gibt. Als die Forscher das Problem genauer untersuchten, entdeckten sie, dass die Card Transaction Qualifiers (CTQ) modifiziert werden konnten, die für die Festlegung der Limits für kontaktlose Transaktionen zuständig sind. Damit gibt es dann kein Limit mehr für die "heimliche" Bezahlung.
Schwachstelle nicht behoben
Die Tests waren nur mit iPhone und Visa-Karten erfolgreich. Bei Mastercard wird geprüft, ob ein gesperrtes iPhone nur Transaktionen von Kartenlesegeräten mit einem Transithändler-Code akzeptiert. Beim Versuch der Methode mit Samsung Pay stellten die Forscher fest, dass Transaktionen mit gesperrten Samsung-Geräten immer möglich sind. Der Wert ist jedoch immer Null, und die Verkehrsunternehmen berechnen die Fahrkarten auf der Grundlage der mit diesen Transaktionen verbundenen Daten.
Die Ergebnisse dieser Untersuchung wurden sowohl Apple als auch Visa im Oktober 2020 und im Mai 2021 übermittelt, aber keiner von beiden hat das Problem behoben. Stattdessen schoben sich die beiden Unternehmen gegenseitig die Schuld zu.
Ich bleib selbstverständlich weiterhin im #TeamApplePay! Bargeld ist einfach so was von out!
Nein, ist es nicht und wird es auch nicht sein. Da können diverse Verfechter noch so laut stöhnen.
Genau wegen sowas hatte ich bei meinen Samsungs Nearby Services, nfc, bt unterwegs schon immer aus und Zahlen mit dem Gerät genauso noch nie in Anspruch genommen.
Habe mich früher selbst über bt mit meinen Nokia 3650 in andere Handys gehakt und darüber Telefoniert, sms geschrieben u.s.w
Kann man sehen wie man will, hat man alles immer an, ist man angreifbarer und am Akku ziehts auch.
In der Vergangenheit hat sich meist gezeigt, dass Apple erst dann zum Schutze des Kunden zu Änderungen bereit ist, wenn Sicherheitslücken öffentlich werden, aktiv ausgenutzt oder Apple zur Schadensersatz verurteilt wird.
Insofern behaupte ich einmal, dass Apple natürlich hier etwas dagegen tun könnte, die Lücke aber wissentlich seit über einem Jahr offen hält. Selbst wenn es technisch nicht anders möglich ist auf Apple Seite, könnte Apple trotzdem die Verwendung von VISA an der Stelle deaktivieren. Aber dann würden ja der Umsatz leiden.
Nachdem es Samsung mit Samsung Pay schafft das Problem zumindest irgendwie zu entschärfen, scheint bei Apple einfach der Wille zu fehlen.
Wäre mir neu. Apple behebt ständig unzählige Sicherheitslücken, bei denen Apple dann auch immer angibt, ob sie bereits aktiv ausgenutzt wurden (bzw. Apple davon weiß) oder eben nicht. Und in den meisten Fällen wurden sie noch nicht ausgenutzt, bis Apple sie geschlossen hat.
Das Problem ist einfach, dass Apple selbst gar nicht groß überprüfen kann, ob Lücken ausgenutzt werden. Nur in seltenen Fällen erkennt Apple die Ausnutzung von Sicherheitslücken selbst, im Normalfall melden solche Angriffe spezialisierten Sicherheitsfirmen. Bei den Hinweisen von Sicherheitsforschern, die über Responsible Disclosure laufen, geht Apple (wie übrigens jedes andere Unternehmen) mal davon aus, dass die sonst keiner gefunden hat. Die Angaben Apples, ob Lücken also verwendet wurden oder nicht, sind damit relativ wertlos.
Und gerade bei den Sicherheitsforschern wächst der Groll auf Apple, da Apple die Lücken viel zu langsam oder gar nicht schließt, oder die Arbeit nicht entsprechend honoriert bzw. nicht immer in den Security Bulletins würdigt.
Die Lücke hier mit der Visa Karte ist nun seit einem Jahr bekannt. Eine Airtag Schwachstelle seit 3 Monaten, bei denen der Melder der Lücke noch immer nicht weiß, ob er fürs Melden eine Belohnung erhält. Von vier im März/Mai gemeldeten Sicherheitslücken (erlauben jeder installierten App ohne Autorisierung Zugriff auf E-Mail-Adressen, Namen, Kontakte, Mails) wurden 3 selbst jetzt in iOS 15 noch nicht gefixt, die vierte Lücke wurde gefixt, aber der Melder weder belohnt noch genannt. Der Fehler wurde übrigens auch in den Security Bulletins nicht genannt.
Und das waren jetzt nur die Fälle, die mir vom September auf die Schnelle eingefallen sind. Kurz davor, Anfang September, gab es ja schon einen größeren Artikel in der Washington Post, wo die Praktiken von Apple von vielen Sicherheitsforschern kritisiert wurden.
Ich persönlich habe das Gefühl, dass man bei Apple total überfordert ist bei der Bewältigung der ganzen Sicherheitslücken. Daher lässt man es öfters schleifen, bis der Fehler in den Medien auftaucht oder jemand ihn ausnutzt.
Ich würde mal schätzen, dass Apple das, wenn es wirklich ein echtes Problem wäre, das auch sofort beheben würde. Oder vielleicht schon hat. Ich finde irgendwie nichts dazu, auf welchen Versionen die beiden iPhones da getestet wurden - nicht einmal wann. am Ende hat Apple das mit iOS15 vielleicht längst behoben...
Und falls Apple es aus irgendeinem Grund vielleicht gar nicht beheben kann, dann könnte die Schuld unter Umständen wirklich bei Visa liegen.
Ich würde Apple jetzt nun echt nicht als so ein Unternehmen einschätzen, dass die Schuld einfach auf jemand anderen schiebt und die Lücke dann wissentlich offen lässt.
Es könnte aber auch genauso gut anders sein. Vllt. kann Visa es nicht beheben, weil das iPhone das Hardware-Einfallstor ist.
Alles Spekulation. Nichts genaues weiß man nicht. Aus Kundensicht unverschämt, zumal die Unternehmen ja scheinbar schon sehr lange davon wissen. Da hat sich keiner mit Ruhm bekleckert.
Das kann man nicht bestreiten. So oder so - einer von beiden hat Schuld und sollte es entsprechend beheben.
Apple ist das doch nicht Schuld, das sind die Kunden: "Your holding it wrong" !
Wie war das noch gleich, Apple legt seinen Schwerpunkt auf Sicherheit? ^^
Nur weil hier und da mal eine Sicherheitslücke auftaucht, liegt der Schwerpunkt längst nicht nicht auf Sicherheit...
Ich bin mir ziemlich sicher, dass der Schwerpunkt von Apple nicht auf der Sicherheit liegt. Zumindest nicht in den Entwicklungsbereichen, das hat sich die letzten Jahre leider recht häufig gezeigt.
Das Marketing verwendet den Begriff der Sicherheit jedoch sehr gerne, und auch vor Gericht ist das Argument Sicherheit gerne gesehen wenn es darum geht, die Einschränkungen und Monopol-verdächtigen Vorgänge zu rechtfertigen.
Unsinn.
Wenn Apple keinen Fokus auf Sicherheit legen würde, dann könnten sie das gerade vor Gericht überhaupt nicht anbringen... Und auch sonst könnten sie damit nicht wirklich werben.
Und manchmal muss man sich echt fragen, ob manche überhaupt wissen, was eigentlich ein "Monopol" ist.
Ein Anbieter von zig anderen zu sein, ist heutzutage ja anscheinend auch schon ein "Monopol" oder wenn man die Regeln für den selbst erstellten und gepflegten Store festlegt.
Tut mir leid, ich werde aus deiner Argumentation mit dem Gericht nicht wirklich schlau, aber vielleicht ja du:
Wenn Apple kein Monopol hätte, könnte das ein Epic/Spotify/... auch überhaupt nicht vor Gericht anbringen. Und öffentlich sagen könnte das Epic auch nicht.
Mir ist es ehrlich gesagt egal, ob Apple Focus auf die Sicherheit legt oder nicht. Es zählt was hinten beim Kunden rauskommt. Und da sieht es nun seit einiger Zeit relativ mau aus. Es kommen vermehrt größere Lücken auf, die unter Beachtung aller Richtlinien an Apple gemeldet und dann vom Finder erstmal geheim gehalten werden. Und dann, nach zig Monaten, nachdem Apple sich nicht bewegt, halt veröffentlicht werden. Schwere Sicherheitslücken hier und da sind normal, aber bei Apple treten sie seit einigen Jahre doch gehäuft auf.
Mag sein, dass Apple etwas tut, aber die einhellige Meinung der Sicherheitsforscher scheint zu sein, dass Apple deutlich zu wenig unternimmt. Das hier beschriebene Problem, und dass es schon vor über einem Jahr an Apple gemeldet wurde und seitdem nichts passiert ist, ist nur ein weiterer Vorfall.
Apple muss hier schleunigst wieder in die Spur kommen.
Ich habe übrigens nichts von einem Monopol erwähnt. Ich rede davon, dass Apple doch recht viele Entscheidungen in seinem Ökosystem zum Schaden der App-Entwickler und Nutzer trifft, die man so in dieser Form nur bei Monopolen erwarten würde.
@Tim
Behaupten kann man immer viel, beweist du hier auch gerade wieder^^
@TomW
Wohl eher: Wenn Apple ein Monopol hätte, dann würden Epic und Spotify in ihren Klagen auch was erreichen. Tun sie nur weitestgehend nicht.
Die meisten Vorwürfe dahingehend waren und sind ziemlich haltlos. Es ist halt der Store von Apple und entsprechend legen sie die Regeln fest. Wenn DAS ein Monopol ist, dann hat auch Epic auf ihren Store und Spotify auf deren Dienste ein "Monopol". Das ist halt Unsinn, wie gesagt.
@Hubelix
Oder man kann, wie du, einen völlig sinnlosen Kommentar bringen, der in keine Richtung irgendetwas beisteuert.
Genau deswegen benutzt das Us Melutär auch Galaxys und eben keine Iphones...
Bei Regierungstelefonen das selbe, da kommen Galaxy Enterprise Editions Modelle zum Einsatz.
Apple hat derartige Sicherheitsflagschiffe nicht und auch keinen Schutz der mit Samsung Knox vergleichbar wäre.
Aus meinen Root Community Erfahrungen weiss ich das es bei Samsung sehr schwierig geworden ist und Samsung vorallem bekannte Lücken sau schnell schließt.
Schon 2015 bekam Samsung großes Lob, es gab eine Lücke in der Tastatur und binnen 7 Tagen waren alle Samsungs weltweit gepatcht ohne ein Android Update machen zu müssen.
Da gab es schon damals großes Lob für den Willen und die schnelle Umsetzung.
Gleiches beim Root, ist mal eine Methode vorhanden, funktioniert sie spätestens nach 30 Tagen nicht mehr, wer es dann versucht hat einen brick.
Auch so finde ich Knox und den Efuse sehr gut, denn ein Heimlicher Hack für den root notwendig ist, kann nicht mehr unbemerkt passieren.
Desweiteren läuft Samsung pay auch über Knox und abseitz vom Rest, was definitiv ein Sicherheits + ist.
Dazu noch Mc Affe als kostenlosen original eingebauten Schutz, da kann man nicht meckern.
Naja und so viele Lücken wie man bei Apple mit bekam, das hat man bei Samsung nicht.
Toll anstatt es zu beheben sich gegenseitig zu beschuldigen. Toll für den Kunden, nicht....
Naja immerhin verdienen die Unternehmen auch bei den Transaktionen und darum geht es denen doch, wieso also ändern? 🤣🤷♂️