Sicherheit: So könnten Betrüger Apple Pay missbrauchen
Der mobile Bezahlservice Apple Pay wird in den USA bereits fleißig genutzt und soll so manchen Bezahlvorgang nicht nur entspannter, sondern auch schneller realisieren. Einfache Technologie in Kombination mit sensiblen persönlichen Daten ist jedoch bekanntlich ein zweischneidiges Schwert.
Im Rahmen der RSA-Conference in San Francisco, versammelte sich auch in diesem Jahr wieder die IT-Welt und zeigte unter anderem auf, wie Apple Pay missbraucht werden kann, um digitale Kreditkartenkopien erstellen zu können.
Als eines der Hauptprobleme kristallisiert sich den Experten zufolge jedoch die recht plumpe Authentifizierungspraxis der einzelnen Institute, die Kreditkarten aushändigen, heraus. David Dewey von Pindrop merkte zudem an, dass auch Apple noch so manche Sachen verbessern könnte, um Apple Pay besser vor Missbräuchen zu schützen.
Dewey testete Apple Pay über mehrere Monate und schaute sich dabei an, ob und wie einfach Kreditkarten hinzugefügt werden können. Um bei Apple Pay eine neue Karte hinzufügen zu können, muss diese zunächst authentifiziert werden. Wie der Vorgang konkret, also technisch, funktioniert, ist nicht ganz bekannt. Schließlich haben die Banken die Möglichkeit aus verschiedenen Verfahren eines herauszusuchen, um die Karten entsprechend bestätigen lassen zu können. Neben den üblichen Methoden wie die Bestätigung per E-Mail oder SMS kann auch ein Kundengespräch zur Authentifizierung genutzt werden. Letzteres ist Dewey nach das beliebteste Mittel für Betrüger. Schließlich würden diese bei einem persönlichen Gespräch die meisten Kontrolle über die Situation wahren können. Wie sich die Gespräche gezielt manipulieren lassen, zeigt die IT-Webseite Golem in einem recht empfehlenswerten Beitrag zur Thematik auf.
Auch technischer Hack möglich
Das Hinzufügen und wieder Entfernen von Kreditkarten in Apples Pay-Service stellt keine großen Probleme dar. Neben den sogenannten Social-Engineering-Angriffen zeigte Dewey auch Wege auf, über technische Hilfsmittel Apple Pay zu überlisten. Wenn ein Angreifer erst einmal die Kontrolle über ein iTunes-Konto mit einer Kreditkarte hat, sieht es recht düster aus. Abschließend hat Dewey auch noch eine App für das iPhone entwickelt, die mittels Bruteforce-Angriff den Sicherheitscode (CVV-Nummer) knackt, der zum Importieren einer neuen Kreditkarte in Apple Pay noch einmal benötigt wird. Im schlechtesten Fall braucht die App eine bis eineinhalb Stunden, um den Code zu knacken. Bei der Livedemo dauerte das Ganze nur wenige Minuten. Weder Apple noch die aushändigenden Kreditinstitute haben bisher wirksame Sperren gegen derartige Angriffe. Hier besteht dringender Handlungsbedarf.
Apple leitete im letzten Jahr bereits Maßnahmen ein, um Apple Pay sicherer zu machen. Wie die aktuelle Demonstration jedoch zeigt, sind noch ein paar Hausaufgaben offen.
-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.
Gefällt Dir der Artikel?
14 Kommentare zu dem Artikel "Sicherheit: So könnten Betrüger Apple Pay missbrauchen"
-
Milan 3. März 2016 um 16:17 Uhr ·Hallo Leute ich hab vor ein paar Tagen ein iPhone gekauft was oben am Aluminium neben der standby taste einen Mini Strich hat der aber eigentlich gar nicht stört soll ich das jetzt umtauschen oder lieber nicht ich mein was soll’s eigentlich? Danke
iLike 1 -
Mockt 3. März 2016 um 16:44 Uhr ·Geh doch einfach umso länger du wartest umso wahrscheinlicher ist der Verdacht auf selbstverschuldung
iLike 8
-
Maruso 3. März 2016 um 16:49 Uhr ·Ich würds lassen
iLike 2
-
Maruso 3. März 2016 um 16:50 Uhr ·Ausser es stört dich
iLike 2
-
-
Kiristian 3. März 2016 um 16:57 Uhr ·Jesus liebt Dich !
iLike 18
-
Blacks Berry 3. März 2016 um 17:48 Uhr ·Dein Kommentar ist am Thema vorbei. Geht hier um Apples Bezahldienst und nicht ums iPhone.
iLike 6
-
Fabio 4. März 2016 um 14:41 Uhr ·Wenn es nicht stört, du dir sagst das es kein Nachteil für dich und der Weg zum Store sich für die kleine Macke nicht lohnt dann machs nicht. Wenn du aber noch nicht viele Daten drauf hast und so mach es doch einfach ;)
iLike 0
-
-
o.wunder 3. März 2016 um 16:26 Uhr ·Erstaunlich, doch so viele Lückenü
iLike 1
-
applefan 3. März 2016 um 16:35 Uhr ·Mein Reden seit längerem: Finger weg und mit Kreditkarte oder EC-Karte zahlen. Soviel Zeit muß sein! Übrigend haben die neuen Kreditkarten ebenso Sensorflächen zum kontaktlosen Bezahlen!
iLike 3
-
AppleChef 3. März 2016 um 16:37 Uhr ·Naja bei uns kanns ja nicht gehackt werden :( (Dafür muss Apple Pay erstmal nach Deutschland kommen)
iLike 11
-
Eisvogel 3. März 2016 um 17:58 Uhr ·Wieso gehst du davon ausm dass hier nur Einwohner Deutschlands Beiträge schreiben? Schönen Gruß aus Indien ;-)
iLike 1
-
Amo 4. März 2016 um 06:18 Uhr ·@eisvogel nur weil du grad in indien sitzt musst du hier net posen. Die Apfelpage App ist in der deutschen Sprache gehalten, und da die deutsche Sprache keine Weltsprache ist, kann man davon ausgehehen dass 99% aller user dieser app in Deutschland wohnen.
iLike 1
-
-
-
Darsana 3. März 2016 um 18:22 Uhr ·Mir kommt da gleich ein Kommentar vom 22. Januar in den Sinn :) „[…] Vor allem ist es 1000 x sicherer als dieses Samsung Pay..“ lol
iLike 1
-
inu 5. März 2016 um 10:05 Uhr ·Den einzigen Handlungsbedarf, den ich sehe, ist die umgehende Einstellung der Bezahlmethode ApplePay (und dergleichen, versteht sich). Die hier erforderliche -absolute- Sicherheit bei der Datenübertragung kann nie erreicht werden. Deshalb benutze ICH kein ApplePay, und werde das, bereits aus Prinzip, bestimmt auch künftig nie machen.
iLike 0
