Die Sicherheitslücke kann ausgenutzt werden, um den Sperrbildschirm des iPhones zu entsichern. Das haben Forschende der University of Birmingham und Surrey herausgefunden. Sobald Nutzerinnen und Nutzer Visa-Zahlungen bei Apple Pay einrichten, trete das Problem auf. Allerdings sei nur der Express-Modus betroffen.
Apple Pay und Visa: Sicherheitslücke besteht bei iPhones
Darüber hatte zunächst ZDNet berichtet. Die Sicherheitslücke wird demnach durch einen Code namens „magic bytes“ ausgelöst. Dieser Code sei nötig, um Apple Pay und damit auch Visa-Zahlungen auf dem iPhone freizuschalten. Die Wissenschaftlerinnen und Wissenschaftler hatten einen sogenannten Relay-Angriff durchgeführt, um das iPhone zu überlisten. Dabei täuschen Kriminelle eine fremde Identität vor.
Mittels weiterer Geräte, darunter einem NFC-fähigen Android-Handy, konnten die Forschenden einen Kontakt mit dem NFC-Chip des iPhones aufbauen. NFC gilt schon länger als Einfallstor für Hacker-Angriffe, bemerkt der Security Insider. In der Praxis würde es also ausreichen, wenn ein Hacker sich unbemerkt in der Nähe eines iPhones befindet, um den Sperrbildschirm zu überlisten.
Apple Pay und Visa-Limit können theoretisch überlistet werden
Die Forschenden haben außerdem ein Paper veröffentlicht, in dem sie ihre Arbeit beschreiben. Bei dem Experiment haben sie ein iPhone 7 und ein iPhone 12 benutzt. Es könnte demnach möglich sein, auch das tägliche Apple Pay- beziehungsweise Visa-Limit zu überlisten, vermuten die Wissenschaftlerinnen und Wissenschaftler.
Im realen Leben sei ein solcher Hack aber nicht ohne Weiteres durchführbar. Apple sei übrigens bereits im Oktober 2020 kontaktiert worden. Apple soll das Problem daraufhin Visa geschildert haben. Doch beide Unternehmen hätten die Schwachstelle bis heute nicht behoben. „Beide Parteien beschuldigen sich gegenseitig, anstatt das Problem zu lösen“, sagt Andreea-Ina Radu, eine der Forschenden.
Visa: „Im realen Leben ist ein solcher Betrug nicht möglich“
Visa antwortet auf eine Anfrage von ZDNet und teilte mit, dass Apple Pay und Visa sichere Systeme seien. „Im realen Leben ist ein solcher Betrug nicht möglich“, erklärte das Unternehmen. Auch Apple antwortete auf eine Anfrage. „Wir nehmen Sicherheitsprobleme sehr ernst. Visa hat uns jedoch geschildert, dass es nicht möglich ist, eine solche Sicherheitslücke auszunutzen“, gab das Unternehmen aus Cupertino bekannt. Aktuell gibt es übrigens in Deutschland Berichte darüber, dass sich ein Android-Trojaner in einer gefälschten Commerzbank-Online-Banking-App verbirgt.
Quellen: „Practical EMV Relay Protection“ (GitHub, 2021); ZDNet
Du willst mehr von uns lesen? Folge uns auf Google News.