Eine eigentlich nützliche Apple-Pay-Funktion kann zum Sicherheitsrisiko für iPhone-Nutzerinnen und -Nutzer werden. Dabei können Kriminelle gezielt die „Express Transit“-Funktion des Anbieters ausnutzen, um teilweise hohe Abbuchungen vorzunehmen – ohne dass die Opfer die Zahlung freigeben müssen, wie es beim Bezahlen mit dem Smartphone oder einem vergleichbaren Gerät eigentlich üblich ist.
Die Schwachstelle ist bereits seit 2021 bekannt. Jetzt hat allerdings ein YouTuber in einem aktuellen Video aufgezeigt, dass sie immer noch aktiv ist. Worauf müssen iPhone-Nutzerinnen und -Nutzer achten?
NFC beim iPhone kann zur Schwachstelle werden
Dank NFC-Technologie („Near Field Communication“, auf Deutsch „Nahfeldkommunikation“) ist eine kontaktlose Datenübertragung über eine sehr kurze Distanz möglich. In der Praxis kommt das vor allem beim kontaktlosen Bezahlen mit dem Smartphone, der Smartwatch etc. zum Einsatz; die Geräte sind dann mit der Kreditkarte der Nutzerinnen und Nutzer verknüpft.
Wer auf diese Art und Weise zum Beispiel an der Supermarktkasse zahlt, muss allerdings zusätzlich etwa via Face ID die Zahlung freigeben. Das ist eine wichtige Sicherheitsmaßnahme, da sonst theoretisch über ein NFC-Gerät, das unbemerkt im Vorbeigehen ans Smartphone gehalten wird, eine Abbuchung möglich wäre.
Kriminelle können Apple-Pay-Funktion ausnutzen
Allerdings gibt es für Kriminelle auch darüber hinaus noch eine versteckte Möglichkeit, die speziell auf iPhones abzielt. Dabei wird die sogenannte „Express Transit“-Funktion von Apple Pay ausgenutzt. Diese ist auf den öffentlichen Nahverkehr ausgelegt. Das Feature sorgt dafür, dass iPhone-Nutzerinnen und -Nutzer ihre ÖPNV-Tickets schnell und unkompliziert – und vor allem ohne die üblichen Sicherheitsvorkehrungen – bezahlen können, um den üblichen Fahrgastverkehr nicht aufzuhalten.
Theoretisch können Angreifer diese Funktion ausnutzen, indem die Daten an ein zweites Gerät weitergeleitet werden, das dann die eigentliche Bezahl-Transaktion im eigenen System durchführt. Die Besitzerinnen und Besitzer der iPhones bekommen davon nichts mit, da nicht wie üblich eine Freigabe erforderlich ist. Der Vorgang wird auf dem YouTube-Kanal „Veritasium“ demonstriert, wobei die Maximalsumme von 10.000 US-Dollar (umgerechnet etwa 8515 Euro) erbeutet wurde.
iPhone-Schwachstelle schon länger bekannt
iPhone-Nutzerinnen und -Nutzer in Deutschland müssen sich deshalb allerdings weniger Sorgen machen, da die „Express Transit“-Funktion hierzulande nicht zur Verfügung steht. Wer allerdings einen Aufenthalt in einem Land plant, in dem das Feature freigeschaltet ist, sollte sich zumindest der grundlegenden Gefahr bewusst sein. Und auch, wer die Funktion aufgrund einer bevorstehenden oder bereits zurückliegenden Reise noch aktiviert hat, ist theoretisch ein Ziel.
Betroffen sind alle iPhones, auf denen im Apple Wallet eine Karte des Anbieters Visa für die „Express Transit“-Funktion hinterlegt ist. Bei anderen Karten-Anbietern droht hingegen keine Gefahr, weil sie auf andere Verschlüsselungsprotokolle setzen. Auch dann ist für die erfolgreiche Datenübertragung im Sinne der Masche allerdings ein längerer Kontakt mit dem iPhone erforderlich. Der beste Schutz ist also, sein Gerät nicht aus den Augen zu lassen und die Funktion zu deaktivieren, da man sie hierzulande ohnehin nicht nutzen kann. Dafür geht man wie folgt vor:
- Apple Wallet öffnen und die entsprechende Karte/Ticket/Schlüssel auswählen
- Oben rechts das Drei-Punkt-Menü öffnen und den Reiter „Karteninfo“ antippen
- Anschließend „Express-ÖPNV-Einstellungen“ öffnen und statt der Karte die Option „Keine“ markieren
Alternativ kann man auch direkt in die Einstellungen gehen und zum Bereich „Wallet & Apple Pay“ navigieren. Die entsprechende Schwachstelle ist bereits seit 2021 bekannt. Apple und Visa haben das Problem allerdings offenbar aufgrund fehlender Relevanz bisher nicht behoben.