Kontaktloses Bezahlen mit Apple Pay gilt als bequem und sicher. Ein aktuelles Experiment zweier Youtuber zeigt nun jedoch, dass sich diese Sicherheit unter bestimmten Voraussetzungen umgehen lässt. Im Zentrum steht eine seit Jahren bekannte Schwachstelle im Zusammenspiel von Apple Pay und Visa.
Das Video des Wissenschaftskanals Veritasium, an dem auch Technik-YouTuber Marques Brownlee mitgewirkt hat, demonstriert den Angriff anschaulich. Dabei wird nicht das alltägliche Bezahlen mit Apple Pay im Supermarkt angegriffen, sondern die sogenannte Express-ÖPNV-Funktion. Sie ermöglicht Zahlungen in Nahverkehrssystemen, ohne dass das iPhone zusätzlich entsperrt werden muss. Das ist vor allem beim schnellen Einstieg in Bus oder U Bahn praktisch.
enau diese fehlende Sicherheitsabfrage machen sich Kriminelle zunutze. Mit einem präparierten NFC-Lesegerät, das sich als legitimes Nahverkehrsterminal ausgibt, lassen sich Zahlungsdaten vom iPhone abgreifen. Diese Daten werden anschließend per Laptop manipuliert und auf ein zweites Gerät übertragen, mit dem dann an einem echten Terminal bezahlt wird, ohne dass das iPhone jemals entsperrt wurde. Im Experiment gelang es auf diese Weise, zunächst 5 US-Dollar, später sogar 10.000 US-Dollar abzubuchen.
Der Angriff funktioniert ausschließlich mit Zahlungskarten von Visa. Der Grund liegt in der Sicherheitsarchitektur: Visa verzichtet bei online angebundenen Terminals auf eine zusätzliche symmetrische Verschlüsselung, was das Abfangen und Verändern von Transaktionsdaten ermöglicht. Anbieter wie Mastercard oder American Express setzen auf zusätzliche Schutzmechanismen, die diesen Angriffspfad blockieren.
Apple selbst hat nach eigenen Angaben keinen Einfluss darauf. Visa hingegen erklärte gegenüber Veritasium, man gehe nicht davon aus, dass ein solcher Angriff in der Praxis eine relevante Rolle spiele. Außerdem seien Betroffene in der Lage, eine solche Zahlung nachträglich abzulehnen, und der Null-Haftungs-Schutz greife, sofern Vorfälle schnell gemeldet werden.
Forscher:innen der Universitäten Surrey und Birmingham hatten genau diesen Angriff bereits 2021 beschrieben, ohne dass sich seitdem etwas Grundlegendes geändert hat. Tom Chothia von der Universität Birmingham betont: „Man kann so viel abbuchen, wie es das Konto erlaubt.“ Gleichzeitig bleibt das Risiko auf sehr spezifische Konstellationen beschränkt: Für einen erfolgreichen Angriff braucht es physische Nähe zum Gerät, spezialisierte Hardware und die richtige Kombination aus Karte und Terminal. Besonders gefährdet sind gestohlene oder verlorene iPhones, bei denen Angreifende ausreichend Zeit für das Setup hätten.
Für das alltägliche Bezahlen im Laden, also mit Face ID oder Touch ID, besteht kein erhöhtes Risiko. Die Schwachstelle betrifft ausschließlich die Kombination aus Express-ÖPNV-Modus und einer hinterlegten Visa-Karte.
Wer das Risiko vollständig ausschließen möchte, kann die Express-ÖPNV-Funktion in den iPhone-Einstellungen deaktivieren. Den entsprechenden Punkt findet man unter Einstellungen → Wallet & Apple Pay → Express-ÖPNV-Karte. Dort einfach „Keine“ auswählen, und schon ist das Risiko beseitigt. Alternativ genügt es, dort keine Visa Debit- oder Kreditkarte zu hinterlegen und stattdessen auf eine Karte eines anderen Anbieters zurückzugreifen.
In Deutschland ist die Express-ÖPNV-Funktion ohnehin wenig verbreitet, da sie von den hiesigen Nahverkehrssystemen kaum unterstützt wird. Das Risiko ist für die meisten also gering.
Danke, dass du dir Zeit genommen hast, um deinen Kommentar zu schreiben. Du hilfst damit das Produkterlebnis zu verbessern und gibts anderen Nutzern die Möglichkeit weitere Informationen zu diesem Beitrag zu lesen.
