Apple Pay und Visa sind einfache Opfer von digitalem Taschendiebstahl
Auch das digitale Portemonnaie ist nicht sicher vor Taschendieben. Im Express-Modus von Apple-Pay mit Visa-Karten muss das iPhone bei Bezahlungen nicht entsperrt werden. Dadurch werden Nutzende aber anfälliger für digitale Diebstähle.
Forschende haben einen Weg gefunden, betrügerische Zahlungen mit Apple Pay von einem gesperrten iPhone durchzuführen. Nötig ist dafür lediglich eine Visa-Karte im digitalen Portemonnaie sowie ein aktivierter Express-Modus.
Die Methode gleicht laut "Bleepingcomputer" einer digitalen Version des Taschendiebstahls. Sie funktioniert kontaktlos, auch wenn sich das iPhone in einer Tasche oder in der Hosentasche einer Person befindet. Ein Transaktionslimit gebe es ebenfalls nicht.
Ticket-Gate-Zahlungstrick
Forschende der Universität Birmingham und der Universität Surrey haben Angriffe auf kontaktlose Zahlungen untersucht. Dabei stellten sie fest, dass iPhone-Geräte Transaktionen unter bestimmten Bedingungen bestätigen.
Im Normalfall entsperren iPhone-Nutzende ihr Telefon via Face ID, Touch ID oder Pin, wenn sie eine Zahlung durchführen möchten. Bei gewissen Bezahlvorgängen, etwa in öffentlichen Verkehrsmitteln, mache das Entsperren des Geräts den Bezahlvorgang jedoch umständlich, schreibt "Bleepingcomputer" weiter. Mit "Express Transit" habe Apple Pay eine Funktion als Antwort darauf entwickelt. Diese ermögliche es, Zahlungen ohne Entsperren des Gerätes durchzuführen, beispielsweise an Ticketautomaten im öV.
Mit einem Kartenlesegerät und einem Android-Telefon gelang es den Forschenden, die Voraussetzungen für eine Express-Zahlung zu simulieren. Dabei handelt es sich um einen sogenannten Mittelsmann-Replay- und Relay-Angriff. Mit dieser Methode ist eine Benutzerauthentifizierung zur Autorisierung der Zahlung nicht erforderlich. Die Ergebnisse hielten sie in einem Forschungsbericht fest.
Das Ganze ist jedoch etwas komplizierter. Die Forschenden erklären, dass ein paar Bits geändert werden müssen, um bestimmte Flags zu setzen. Diese werden normalerweise von Lesegeräten mit unstetigen Verbindungen genutzt.
"Der Angriff funktioniert, indem zunächst die Magic Bytes an das iPhone zurückgespielt werden, so dass es glaubt, die Transaktion erfolge mit einem Transport-EMV-Lesegerät. Anschliessend müssen bei der Weiterleitung der EMV-Nachrichten die vom EMV-Terminal gesendeten Terminal Transaction Qualifiers (TTQ) so geändert werden, dass die Bits (Flags) für die Offline-Datenauthentifizierung (ODA) für unterstützte Online-Autorisierungen und den unterstützten EMV-Modus gesetzt werden", wie die Forschenden in ihrem Bericht erklären.
Veränderung der Limite
Bei näherer Untersuchung liess sich gemäss "Bleepingcomputer" feststellen, dass es möglich sei, die Card Transaction Qualifiers (CTQ) zu verändern. Diese sind zuständig für das Festlegen der Limite für kontaktlose Transaktionen.
Diese Änderung soll das Kartenlesegerät glauben lassen, dass der Authentifizierungsschritt auf dem mobilen Gerät erfolgreich abgeschlossen wurde. Während des Experiments gelang es den Forschenden nach eigener Aussage, mit einem gesperrten iPhone eine Transaktion in Höhe von 1000 Britischen Pfund durchzuführen. Sie testeten den Angriff erfolgreich mit dem iPhone 7 und dem iPhone 12.
Schwachstelle noch nicht behoben
Die Tests waren gemäss "Bleepingcomputer" nur mit iPhone und Visa-Karten erfolgreich. Bei Mastercard wird geprüft, dass das iPhone lediglich Transaktion von einem Kartenlesegerät eines öV-Betreibers akzeptiert.
Bei Samsung Pay funktioniere dieser Trick mit gesperrten Geräten immer. Allerdings sei der Wert der Zahlung stets Null. Die öV-Betreiber berechnen anschliesend die Fahrkarten aufgrund von mit diesen Transaktionen verbundenen Daten.
Die Forschenden übermittelten die Ergebnisse ihrer Untersuchung sowohl an Apple als auch an Visa im Oktober 2020 respektive Mai 2021. Bisher habe aber keine der involvierten Parteien das Problem behoben. Stattdessen schoben sich die beiden Unternehmen gegenseitig die Verantwortung zu, so dass die Schwachstelle weiterhin besteht. Eine Schwachstelle, die sich mit handelsüblicher Hard- und Software ausnutzen lässt.