Anzeige

Smartphone

Komfort und Sicherheit verhalten sich in der IT oft ähnlich in ihrem Verhältnis zueinander wie Freiheit und Sicherheit. Das eine geht nur auf Kosten des anderen. Ein aktuelles Beispiel bietet die Apple Pay „Express Transit“-Funktionalität.

Kleine Beträge lassen sich bequem bezahlen, trotz Sperrcode. Doch das lässt sich nach jüngsten Berichten fatal ausnutzen.Paul Ducklin, Sophos Security-Experte, erklärt das Problem.

Ein noch nicht veröffentlichtes Papier von Forschern aus dem Vereinigten Königreich hat Ende September wegen seiner dramatischen Behauptungen über Apple Pay Schlagzeilen gemacht: Demnach ermögliche es eine offensichtliche Schwachstelle, Geld von einem gesperrten iPhone zu stehlen, wenn eine Visa-Karte mit Apple Pay Express Transit eingerichtet ist.

Noch nie von Express Transit gehört? Es handelt sich um eine dieser cleveren Ideen, bei der Cybersicherheit zugunsten der Bequemlichkeit geopfert wird. Einfach ausgedrückt, lassen sich mit dieser Funktion einige Arten von Touch-to-Pay-Transaktionen durchführen, auch wenn das Telefon gesperrt ist – sofern Express Transit aktiviert ist.

Das Prinzip des digitalen Zahlens ohne gesonderte Freigabe

Mit Express Transit funktionieren Apple Pay und das iPhone ein bisschen wie eine normale Kreditkarte, die bei Transaktionen mit geringem Wert nicht mit einem PIN-Code freigegeben werden muss. In den meisten Ländern Europas liegt dieses Limit zwischen 25 und 50 Euro.

Ähnlich einfach ist die Bezahlung via Express Transit über das Smartphone. Wird eine Transaktion angefordert, genügt ein einfacher Klick auf dem gesperrten Smartphone und schon ist das Geld beim Empfänger. Dieser eine letzte Klick kann leicht ungewollt passieren, wenn der Nutzer schnell etwas „wegklickt“, weil er gerade an etwas anderem interessiert ist oder wenn dieser eine Klick von einem Fremden unbemerkt ausgelöst wird, beispielsweise im Cafe oder in der überfüllten Bahn. Denn im Gegensatz zur Kreditkarte, die man meist in seinem Portemonnaie aufbewahrt und nur dann herausholt, wenn die Zahlung am Terminal tatsächlich ansteht, ist das Handy viel öfter und sichtbar präsent, beispielsweise auf einem Tisch.

Damit das Smartphone nicht missbraucht werden kann, sperren wir es gemeinhin mit einem Pincode oder einem alternativen Authentifizierungsmechanismus wie Fingerabdruck oder Gesichtserkennung. Doch leider schalten Nutzer immer wieder Telefonfunktionen auf dem Sperrbildschirm frei und verringern so die Sicherheit, die der Sperrbildschirm in erster Linie ja bieten soll – ganz gleich, ob es darum geht, dass Benachrichtigungen und persönliche Nachrichten angezeigt werden, während das Telefon gesperrt ist, oder um die Verwendung der Apple Pay Express Transit-Funktion zu nutzen.

Die Forscher, die hinter der noch zu veröffentlichenden Arbeit stehen, behaupten nun, dass sie in der Lage waren, iPhones unter sorgfältig vorbereiteten Umständen zu betrügerischen Zahlungen zu verleiten. Sie stellten ihr eigenes Zahlungsterminal auf und tarnten es als das öffentliche Verkehrsunternehmen, das Teil des Express-Transit-Zahlungssystems war.

Offenbar gelang ihnen der Diebstahl nur mit Visa-Kartenkonten (vermutlich waren andere Zahlungsanbieter strenger bei der Entscheidung, ob Zahlungsterminal X wirklich zu Unternehmen Y gehörte), und noch viel schlimmer: die Zahlungen waren nicht durch das übliche Limit von rund 50 Euro begrenzt. Die Forscher behaupten, dass sie durch die Verwendung eines betrügerischen Zahlungsterminals Transaktionen von bis zu über 1000 Euro vornehmen konnten.

Was ist zu tun?

Trotz dieses dramatischen Ergebnisses müssen iPhone-Besitzer nun nicht in Panik verfallen, der Bericht ist allerdings Anlass, sich erneut mit der Nutzung des eigenen Smartphones auseinanderzusetzen. Nutzer sollten die Ausnahmen, die sie auf dem gesperrten Handy zulassen, generell gründlich überdenken. Ist es wirklich eine Belastung, bei jeder Aktion den Sperrcode eingeben zu müssen? Wenn man das mit Ja beantwortet, muss man mit den Risiken leben. Für alle anderen, die sich mit einem Entsperrvorgang sicherer fühlen, gibt es hier noch ein paar Tipps:

  • Verzicht auf Express Transit und alle anderen Funktionen, die auf dem Sperrbildschirm aktiv sind. Diese Optionen opfern unweigerlich die Sicherheit zugunsten der Bequemlichkeit.
     
  • Express Transit in Verbindung mit einer Visa-Karte sollte vorerst vermieden werden. Um Visa gegenüber fair zu sein, gehen wir davon aus, dass mit genügend Aufwand ähnliche Umgehungstricks auch für andere Zahlungsanbieter gefunden werden könnten. Ist man wirklich besorgt und kann ohne Express Transit nicht leben, sollte eine Prepaid-Debitkarte mit einem moderaten Guthaben eingerichtet werden. Zumindest ist dann ein Diebstahl nur für das Guthaben und nicht für den Kreditrahmen einer Kreditkarte möglich.
     
  • Niemals das Telefon unbeaufsichtigt liegen lassen und nur herausholen, wenn es gerade benutzt wird. Ansonsten, in der Hand halten oder in der Tasche haben.
     
  • Man sollte den bestmöglichen Sperrcode nutzen und die kürzeste Zeitspanne für die automatische Sperre. Ein gesperrtes Telefon ist eine kleine Unannehmlichkeit, aber eine große Hürde für Betrüger, sogar für die technisch Versierten. Ein ungesperrtes Telefon hingegen ist ein offenes Ziel für jeden, auch für schlichte Gelegenheitsverbrecher.

Bank- und Zahlungskartenabrechnungen regelmäßig prüfen. Wenn man Express Transit für regelmäßige und vorhersehbare Zahlungen, beispielsweise im öffentlichen Verkehr nutzt, fallen unnormale Buchungen schnell ins Auge.

www.sophos.com


Weitere Artikel

Mobile Security

Smartphone-Sicherheit: Datenklau und Ransomware sind größte Gefahren

Das SANS Institute, eine der weltweit renommiertesten und größten Schulungs- und Zertifizierungsorganisationen rund um das Thema Informationssicherheit, stellt die Ergebnisse des aktuellen Reports über die sichere Nutzung von Mobilgeräten vor. Der Report…
Digital Wallet

Das Datenschutz-Fiasko mit der ID Wallet-App

Spätestens im Zuge der Corona-Pandemie und den neuen Homeoffice-Regelungen ist klar geworden: Deutschland muss digitaler werden. Der Bund hat nun mit der ID Wallet-App einen kleinen Schritt in die Zukunft gewagt – und ist krachend gescheitert.
Mobile Security

Schlechte Integration macht Vorteile mobiler Technologien zunichte

Die neue globale Studie „A Defining Year: State of Mobility 2021 Report“ des IoT- und Mobile-Management-Experten SOTI zeigt: Die unzureichende Integration mobiler Technologien in die firmeneigene IT-Infrastruktur schwächt Unternehmen in einem offenbar…
Android

Die Risiken von Android-Apps: Wie sicher sind sie wirklich?

Haben Sie sich schonmal gefragt, was Android-Apps auf Ihrem Handy alles anstellen? mediaTest hat den Test gemacht und gewährt einen Einblick in die Datenbank: Die Sicherheitsexperten haben Hunderttausende Android-Appversionen datenschutztechnisch unter die…
mobile security

Mobile Security - was man über das “Mobilsein” wissen sollte

In einer Welt, in der das eigene Handy - so denkt man - nicht mehr aus den Augen gelassen wird, geht der Mensch oft davon aus, dass es auch entsprechend sicher ist: Immerhin hat niemand sonst Zugriff auf das Gerät.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.