Betrüger kassieren Geld aus gesperrtem iPhone
Sicherheitsforscher aus Birmingham und Surrey nutzen Apple-Pay-Funktion "Express Transit"
 |
Kombination von iPhone und Visa: anfällig für Betrug (Foto: birmingham.ac.uk) |
Birmingham/Guildford (pte028/30.09.2021/12:30)
Für den allgemeinen Zahlungsverkehr gesperrte iPhones können von Betrügern genutzt werden, um größere Mengen an Geld zu erbeuten. Das gelingt ihnen, indem sie eine mit Visa-Karten funktionierende Apple Pay-Funktion ausnutzen, die für das schnelle Bezahlen von Tickets an Drehkreuzen der U-Bahn eingesetzt wird. Forscher der britischen Universitäten von Birmingham https://www.birmingham.ac.uk und Surrey https://www.surrey.ac.uk/ in Guildford demonstrierten das, indem sie eine kontaktlose Visa-Zahlung von 1000 britischen Pfund von einem gesperrten iPhone aus veranlassten. Sie attackierten nur eigene Konten.
[b]Gegenseitige Schuldzuweisungen[/b]
Gegenüber der britischen Rundfunkanstalt BBC gab Apple Visa die Schuld, Visa beteuerte dagegen, dass Zahlungen sicher seien und kritisierte die Umstände des Tests. Die Forscher selbst sagen, das Problem seien Visakarten, die im „Express Transit"-Modus in der elektronischen Geldbörse eines iPhones eingerichtet sind. „Express Transit" ist eine Apple-Pay-Funktion, die es Pendlern ermöglicht, schnell kontaktlos zu bezahlen, ohne ihr Telefon zu entsperren, zum Beispiel an einer Londoner U-Bahn-Zugangssperre.
[b]Funkgerät täuscht das iPhone[/b]
Vereinfacht und bewusst auf wichtige Details verzichtend funktioniert der Angriff so: Ein kleines, im Handel erhältliches Funkgerät wird in der Nähe eines iPhones platziert. Es gaukelt diesem vor, es handele sich um eine Zugangssperre. Gleichzeitig wird ein Android-Handy, auf dem eine von den Forschern entwickelte Anwendung läuft, verwendet, um Signale vom iPhone an ein kontaktloses Bezahlterminal weiterzuleiten – dies könnte von Kriminellen kontrolliert sein. Weil das iPhone „denkt", dass es zahle für die Öffnung einer Zugangssperre, muss es nicht entsperrt werden. In der Zwischenzeit wird die Kommunikation des iPhones mit dem Zahlungsterminal so geändert, dass es sich entsperrt und eine Zahlung autorisiert wurde.
[b]Es klappt sogar kontinentübergreifend[/b]
Die Forscher sagen, dass sich das verwendete Android-Telefon und das Zahlungsterminal nicht in der Nähe des iPhones des Opfers befinden müssen. Sie könnten sogar auf einem anderen Kontinent sein, sagt Ioana Boureanu von der University of Surrey. „Es muss nur eine Internetverbindung geben."
Ken Munro, ein Sicherheitsforscher beim Sicherheitsberater Pen Test Partners https://www.pentestpartners.com/ in Buckingham und New York, der nicht an dem simulierten Betrug beteiligt war, sagte der BBC, die Sicherheitslücke müsse schnell geschlossen werden.
(Ende)| Aussender: | pressetext.redaktion |
| Ansprechpartner: | Wolfgang Kempkens |
| Tel.: | +43-1-81140-300 |
| E-Mail: | kempkens@pressetext.com |
| Website: | www.pressetext.com |
