Stellen Sie sich vor, Ihr iPhone steckt in Ihrer Tasche, ist komplett gesperrt, und trotzdem gelingt es jemandem, Tausende von Dollar von Ihrer digitalen Geldbörse abzuheben – ohne den Bildschirm zu berühren oder eine Gesichtserkennung zu nutzen! Das klingt wie Science-Fiction, ist aber tatsächlich in einem realen, wenn auch umstrittenen Experiment passiert. Sicherheitsforscher der Universitäten Surrey und Birmingham führten einen ausgeklügelten Angriff auf das iPhone des bekannten YouTubers Marcus Brownlee (MKBHD) durch und hoben dabei sage und schreibe 10,000 Dollar von seinem gesperrten Gerät ab.
Schneller Transporttrick
Der Angriff, über den der bekannte Veritasium-Kanal berichtete, nutzt eine Sicherheitslücke im Express-Transit-Modus von Apple Pay aus. Diese Funktion ermöglicht schnelles Bezahlen an U-Bahn- und Bushaltestellen, ohne dass das iPhone entsperrt oder Face ID verwendet werden muss. Forscher fanden jedoch einen Weg, das Telefon zu täuschen und ihm vorzugaukeln, es befinde sich an einem Bahnsteig, obwohl es tatsächlich an einem gefälschten Kartenlesegerät hängt.
Dies erfordert physischen Zugriff auf das Gerät und spezielle Ausrüstung. Ein an einen Laptop angeschlossenes NFC-Lesegerät wird verwendet, um die Verbindung abzufangen. Die ID des NFC-Lesegeräts wird anschließend so verändert, dass sie mit den IDs autorisierter Terminals übereinstimmt. Die gesammelten Zahlungsdaten werden dann an ein anderes Telefon (ein kompromittiertes Telefon) gesendet, das in der Nähe eines legitimen Kartenlesegeräts platziert wird, um den Diebstahl abzuschließen.
Warum ausgerechnet Visa-Karten?
Das Interessante an dieser Sicherheitslücke ist, dass sie nur mit einer ganz bestimmten Kombination funktioniert: einem iPhone und einer Visa-Karte. Das Problem liegt nicht im Betriebssystem von Apple selbst, sondern in den Sicherheitsprotokollen von Visa für Expressüberweisungen. Der Angriff funktioniert nicht mit Mastercard- oder American-Express-Karten, da diese Unternehmen andere Sicherheitsmethoden verwenden, die sich nicht auf dieselbe Weise austricksen lassen.
Auch Nutzer von Samsung-Geräten und des Samsung Pay-Dienstes sind vor dieser Art von Angriff geschützt. Damit liegt es an Visa und Apple, zu klären, wer für diese Sicherheitslücke verantwortlich ist, die es ermöglicht, die Grenzen herkömmlicher Transaktionen zu umgehen und in einem einzigen Vorgang riesige Summen von bis zu Tausenden von Dollar abzuheben.
Sollten Sie sich Sorgen um Ihr Geld machen?
Als Reaktion auf diesen Vorfall erklärte Apple, das Problem hänge mit dem Visa-System zusammen und derartige Betrugsfälle seien aufgrund der technischen Komplexität und des erforderlichen physischen Zugangs im realen Leben unwahrscheinlich. Visa betonte seinerseits, dass Karteninhaber durch eine „Nullhaftungsrichtlinie“ geschützt seien, was bedeute, dass betrügerische Transaktionen dieser Art problemlos zurückgefordert werden könnten.
Einfach ausgedrückt: Sie sollten sich keine Sorgen machen.
Experten halten einen derart groß angelegten Angriff auf offener Straße für äußerst schwierig. Dennoch verdeutlicht er, dass selbst die sicherste Technologie unerwartete Schwachstellen aufweisen kann. Wenn Sie Bedenken haben, empfiehlt es sich, die Funktion „Fast Transit“ auf Ihrem iPhone nicht primär mit einer Visa-Karte zu nutzen oder sie einfach zu deaktivieren, falls Sie keine unterstützten öffentlichen Verkehrsmittel verwenden.
Quelle:
5 Bewertungen