Anzeige

Apple Pay

Quelle: LightField Studios / Shutterstock.com

Für den allgemeinen Zahlungsverkehr gesperrte iPhones können von Betrügern genutzt werden, um größere Mengen an Geld zu erbeuten.

Das gelingt ihnen, indem sie die mit Visa-Karten funktionierende Apple-Pay-Funktion "Express Transit" ausnutzen, die für das schnelle Bezahlen von Tickets an Drehkreuzen der U-Bahn eingesetzt wird, schreibt die "BBC" unter Berufung auf Forscher der Universitäten Birmingham und Surrey.

Gegenseitige Schuldzuweisungen

Die IT-Experten haben auf diese Weise eine kontaktlose Visa-Zahlung über 1.000 britische Pfund von einem gesperrten iPhone aus veranlasst. Sie attackierten nur eigene Konten. Apple gibt indes Visa die Schuld für den erfolgreichen Hack. Visa beteuerte dagegen, dass Zahlungen sicher seien und kritisierte die Umstände des Tests. Die Forscher selbst sagen, das Problem seien Visa-Karten, die im Express-Transit-Modus in der elektronischen Geldbörse eines iPhones eingerichtet sind. Express Transit ermöglicht es etwa Pendlern, schnell kontaktlos zu bezahlen, ohne ihr Telefon zu entsperren, zum Beispiel an einer Londoner U-Bahn-Zugangssperre.

Vereinfacht und bewusst auf wichtige Details verzichtend, funktioniert der Angriff so: Ein kleines, im Handel erhältliches Funkgerät wird in der Nähe eines iPhones platziert. Es gaukelt diesem vor, es handle sich um eine Zugangssperre. Gleichzeitig wird ein Android-Handy, auf dem eine von den Forschern entwickelte Anwendung läuft, verwendet, um Signale vom iPhone an ein kontaktloses Bezahlterminal weiterzuleiten - dies könnte von Kriminellen kontrolliert sein. Weil das iPhone "denkt", es zahle für die Öffnung einer Zugangssperre, muss es nicht entsperrt werden. In der Zwischenzeit wird die Kommunikation des iPhones mit dem Zahlungsterminal so geändert, dass es sich entsperrt und eine Zahlung autorisiert wird.

Kontinentübergreifend realisierbar

Laut den IT-Forschern müssen sich das verwendete Android-Handy und das Zahlungsterminal nicht in der Nähe des iPhones des Opfers befinden. Sie könnten sogar auf einem anderen Kontinent sein, sagt Ioana Boureanu von der University of Surrey. "Es muss nur eine Internetverbindung geben." Ken Munro zufolge, einem Sicherheitsforscher beim Sicherheitsberater Pen Test Partners in Buckingham und New York, der nicht an dem simulierten Betrug beteiligt war, sollte die Sicherheitslücke umgehend geschlossen werden.

www.pressetext.com
 


Weitere Artikel

Apple

Apple will mit neuen M1-Chips PC-Markt aufrollen

Apple hat zwei neue Hochleistungs-Chipsysteme angekündigt, mit denen der Konzern seine Abkehr von Intel-Prozessoren beschleunigen will. Die am Montag in einem Videostream vorgestellten M1 Pro und M1 Max sind stark verbesserte Versionen des M1-Chips, den Apple…
Cybercrime

Cyberattacke auf IT-Dienstleister der Landeshauptstadt Schwerin

Update Di, 19.10.2021, 07:59 Uhr Nach dem Cyberangriff bleiben die Bürgerbüros im Landkreis Ludwigslust-Parchim auch am Dienstag geschlossen.
Facebook

«Metaverse»: Facebook will Tausende Jobs in Europa schaffen

Facebook-Gründer Mark Zuckerberg will «eine virtuelle Umgebung schaffen, in der man mit Menschen in digitalen Räumen zusammen sein kann». Dieses «Metaverse» soll nicht mehr nur als abstrakte Utopie existieren, sondern mit tatkräftiger Unterstützung aus Europa…
Dokumentenmanagement

Nuxeo-Plattform von Hyland bei DIN im Einsatz

Das Deutsche Institut für Normung e. V. (DIN) implementiert die Nuxeo-Plattform, um die Zusammenarbeit seiner Mitarbeitenden in Deutschland bei der Bearbeitung von mehr als 5,2 Terabyte an normenbasierten Dokumenten zu verbessern. Nuxeo ist die Low-Code- und…
Android

Heimliches Datensammeln auf Android belegt

Googles mobiles Betriebssystem Android sammelt eifrig Daten seiner Besitzer und teilt diese sogar mit anderen Unternehmen wie Microsoft, LinkedIn und Facebook - insbesondere bei den europäischen Geräten von Samsung, Xiaomi, Huawei und Realme ist dies der…
Cybersecurity

Zscaler tritt der CrowdStrike CrowdXDR Alliance bei

Zscaler erweitert die Integrationen mit CrowdStrike. Durch eine der Integrationen kann Zscaler ZIA™ die Bewertung der Geräte durch CrowdStrike Falcon ZTA (Zero Trust Assessment) für die Konfiguration von Zugriffsrichtlinien nutzen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.