Bug erlaubt bis zu 1.000 Pfund-Abhebung per Apple Pay-Express

Apple Pay kann in seiner Spielart zur Bezahlung von Fahrkarten im öffentlichen Nahverkehr missbraucht werden, um den iPhone-Nutzern Geld zu stehlen. Allerdings sind nur manche Kreditkarten für diese Schwachstelle anfällig. Dennoch sollten Nutzer, die Express-ÖPNV nutzen, vielleicht eine andere Karte für diese Funktion verwenden.

Apple Pay kann auch für kontaktlose Zahlungen in Bus und U-Bahn genutzt werden, dieser Modus wird für deutschsprachige Nutzer Express-ÖPNV genannt. Er ermöglicht es, ganz einfach und vor allem ohne Bestätigung durch Face ID oder Touch ID ein Ticket im öffentlichen Nahverkehr zu lösen. Das iPhone oder die Apple Watch müssen nur vor das entsprechende Lesegerät gehalten werden und das jeweils benötigte Ticket wird automatisch gelöst.

Express-ÖPNV funktioniert auch deshalb ohne weitere Authentifizierung, weil die Höhe der Transaktionen in der Regel gering und die tägliche Nutzung gedeckelt ist. – theoretisch. In der Praxis ist es allerdings möglich, deutlich höhere Beträge auf diese Weise zu zahlen.

Sicherheitsforscher haben nun demonstriert, dass sich bis zu 1.000 britische Pfund per Express-ÖPNV von einem iPhone respektive der hinterlegten Kreditkarte abheben lassen, wie aus britischen Zeitungsberichten hervorgeht.

Apple verweist auf Haftung der Kreditkartengesellschaft

Express-ÖPNV wird etwa in der Londoner U-Bahn eingesetzt, um dort die Schranken zu passieren. Allerdings gibt es eine einschränkende Variable: Nur Visa-Kreditkarten sind von dieser Schwachstelle betroffen, Mastercard und American Express lassen sich auf diese Weise nicht abzocken, wer also noch eine solche alternative Karte hat, sollte diese eventuell für Express-ÖPNV einsetzen. Diese Technik ist in Deutschland bei den lokalen Verkehrsbetrieben allerdings ohnehin nicht im Einsatz.

Apple hat sich ebenfalls zu der Problematik geäußert: Das Unternehmen verwies auf die Haftung von Visa für betrügerische Transaktionen, die alle Ansprüche abdecken werde. Visa selbst erklärte, man arbeite seit Jahrzehnten daran, betrügerische Nutzungen seiner Karten zu entdecken und das Risiko gering zu halten, im übrigen führte der Kreditkartenanbieter aus, diese Art Angriff sei nur sehr schwer praktisch durchführbar.

Tatsächlich dürfte betroffenen Nutzern ein riesiger über Epxress-ÖPNV bezahlter Betrag auch rasch erstattet werden.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Oder willst du mit Gleichgesinnten über die neuesten Produkte diskutieren? Dann besuch unser Forum!