Der mobile Bezahlservice Apple Pay wird in den USA bereits fleißig genutzt und soll so manchen Bezahlvorgang nicht nur entspannter, sondern auch schneller realisieren. Einfache Technologie in Kombination mit sensiblen persönlichen Daten ist jedoch bekanntlich ein zweischneidiges Schwert.
Im Rahmen der RSA-Conference in San Francisco, versammelte sich auch in diesem Jahr wieder die IT-Welt und zeigte unter anderem auf, wie Apple Pay missbraucht werden kann, um digitale Kreditkartenkopien erstellen zu können.
Als eines der Hauptprobleme kristallisiert sich den Experten zufolge jedoch die recht plumpe Authentifizierungspraxis der einzelnen Institute, die Kreditkarten aushändigen, heraus. David Dewey von Pindrop merkte zudem an, dass auch Apple noch so manche Sachen verbessern könnte, um Apple Pay besser vor Missbräuchen zu schützen.
Dewey testete Apple Pay über mehrere Monate und schaute sich dabei an, ob und wie einfach Kreditkarten hinzugefügt werden können. Um bei Apple Pay eine neue Karte hinzufügen zu können, muss diese zunächst authentifiziert werden. Wie der Vorgang konkret, also technisch, funktioniert, ist nicht ganz bekannt. Schließlich haben die Banken die Möglichkeit aus verschiedenen Verfahren eines herauszusuchen, um die Karten entsprechend bestätigen lassen zu können. Neben den üblichen Methoden wie die Bestätigung per E-Mail oder SMS kann auch ein Kundengespräch zur Authentifizierung genutzt werden. Letzteres ist Dewey nach das beliebteste Mittel für Betrüger. Schließlich würden diese bei einem persönlichen Gespräch die meisten Kontrolle über die Situation wahren können. Wie sich die Gespräche gezielt manipulieren lassen, zeigt die IT-Webseite Golem in einem recht empfehlenswerten Beitrag zur Thematik auf.
Auch technischer Hack möglich
Das Hinzufügen und wieder Entfernen von Kreditkarten in Apples Pay-Service stellt keine großen Probleme dar. Neben den sogenannten Social-Engineering-Angriffen zeigte Dewey auch Wege auf, über technische Hilfsmittel Apple Pay zu überlisten. Wenn ein Angreifer erst einmal die Kontrolle über ein iTunes-Konto mit einer Kreditkarte hat, sieht es recht düster aus. Abschließend hat Dewey auch noch eine App für das iPhone entwickelt, die mittels Bruteforce-Angriff den Sicherheitscode (CVV-Nummer) knackt, der zum Importieren einer neuen Kreditkarte in Apple Pay noch einmal benötigt wird. Im schlechtesten Fall braucht die App eine bis eineinhalb Stunden, um den Code zu knacken. Bei der Livedemo dauerte das Ganze nur wenige Minuten. Weder Apple noch die aushändigenden Kreditinstitute haben bisher wirksame Sperren gegen derartige Angriffe. Hier besteht dringender Handlungsbedarf.
Apple leitete im letzten Jahr bereits Maßnahmen ein, um Apple Pay sicherer zu machen. Wie die aktuelle Demonstration jedoch zeigt, sind noch ein paar Hausaufgaben offen.
14 Gedanken zu „Sicherheit: So könnten Betrüger Apple Pay missbrauchen“
Die Kommentare sind geschlossen.