Abo
  • Services:
Anzeige
Apple Pay lässt sich für Kreditkartenmissbrauch nutzen.
Apple Pay lässt sich für Kreditkartenmissbrauch nutzen. (Bild: Screenshot Golem.de)

Es gibt auch technische Schwachstellen

Dewey präsentierte nicht nur Social-Engineering-Angriffe, sondern auch technische Möglichkeiten, um das System zu überlisten. Dafür machte er sich eine Designschwäche zunutze. Hat ein Angreifer Kontrolle über ein iTunes-Konto mit einer Kreditkarte, kann er diese Karte direkt für Apple Pay nutzen, selbst wenn in den Einstellungen nicht die vollständige Nummer angezeigt wird - die App bietet mit einem Button an, eine bestehende Karte zu importieren. Lediglich der Sicherheitscode (CVV-Nummer) muss erneut eingegeben werden - dieser kann aber relativ leicht durch einen Bruteforce-Angriff ermittelt werden.

Anzeige

Dazu hat Dewey eine iPhone-App erstellt, die genau das tut. Über das Apple-Pay-Gateway werden hunderte Kombinationen durchprobiert. Bei einer relativen Dauer von 500 Millisekunden pro Versuch lässt sich eine CVV im Schnitt im schlechtesten Fall innerhalb von einer bis eineinhalb Stunden ermitteln. In der Livedemonstration ging das deutlich schneller und dauerte nur wenige Minuten.

Keine Sperre gegen CVV-Bruteforcing

In diesem Fall haben also weder Apple Pay noch die ausgebenden Institute eine wirksame Sperre gegen das automatisierte Ausprobieren hunderter CVVs. Der Konkurrent Samsung-Pay habe eine solche Schwachstelle nicht, sagte Dewey. Ob der Bruteforce-Angriff möglich ist, hängt also maßgeblich vom ausgebenden Institut ab, doch auch Apple könnte das mit relativ geringem Aufwand verhindern. Dewey testete vier verschiedene Anbieter. Es ist davon auszugehen, dass es sich bei allen Beispielen um US-Institute handelt, auch wenn das nicht explizit erwähnt wurde.

Doch warum sollten Kriminelle überhaupt Apple Pay nutzen, um die Daten zu Geld zu machen? Einerseits sind die Geräte für physische Kartenkopien relativ teuer. Außerdem wird es durch die Verbreitung von Chip-und-Pin-Verfahren komplizierter, funktionierende Doubletten herzustellen. Wird Apple Pay genutzt, wertet das System die Transaktion mit Apple Pay als Card-Present-Transaktion und weist ihr somit ein höheres Vertrauenslevel zu als zum Beispiel bei einer Onlinetransaktion. Damit wird ein für Kriminelle relativ günstiger Datensatz zu einer fast vollwertigen Kartenkopie.

Die Apple Pay zugrundeliegenden kryptographischen Systeme gelten bislang als sicher. Im vergangenen Jahr hat Apple bereits einiges unternommen, um gegen den Missbrauch seines Systems durch Betrüger vorzugehen. Doch offenbar ist das noch nicht genug - und es ist eine engere Abstimmung mit den jeweiligen Banken und Finanzinstituten notwendig.

 Security: Wie Betrüger Apple Pay missbrauchen können

eye home zur Startseite
EvilSheep 03. Mär 2016

Hm höchstens weil dann zu viele den Support anrufen und sich beschweren das ihre Karte...

EvilSheep 03. Mär 2016

Ich denke hier kann man im Gegensatz zu den meisten Fällen wirklich von hacken sprechen...

Bill Carson 03. Mär 2016

Zu wenig Verbreitung, immernoch zu schlechtes Image.



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. über Ratbacher GmbH, Berlin
  3. eins energie in sachsen GmbH & Co. KG, Chemnitz
  4. NRW.BANK, Düsseldorf


Anzeige
Blu-ray-Angebote
  1. 17,97€
  2. (u. a. Apollo 13, Insidious, Horns, King Kong, E.T. The Untouchables, Der Sternwanderer)
  3. (u. a. Vier Fäuste für ein Halleluja, Zwei bärenstarke Typen,Vier Fäuste gegen Rio)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Wichtige Anwendungen von automatisierter Inventarisierung
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. Nationale Sicherheit

    Obama verhindert Aixtron-Verkauf nach China

  2. Die Woche im Video

    Telekom fällt aus und HPE erfindet den Computer neu - fast

  3. Hololens

    Microsoft holoportiert Leute aus dem Auto ins Büro

  4. Star Wars

    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

  5. NSA-Ausschuss

    Wikileaks könnte Bundestagsquelle enttarnt haben

  6. Transparenzverordnung

    Angaben-Wirrwarr statt einer ehrlichen Datenratenangabe

  7. Urteil zu Sofortüberweisung

    OLG empfiehlt Verbrauchern Einkauf im Ladengeschäft

  8. Hearthstone

    Blizzard schickt Spieler in die Straßen von Gadgetzan

  9. Jolla

    Sailfish OS in Russland als Referenzmodell für andere Länder

  10. Router-Schwachstellen

    100.000 Kunden in Großbritannien von Störungen betroffen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Angriff auf Telekom: Mit dem Strafrecht Router ins Terrorcamp schicken oder so
Nach Angriff auf Telekom
Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  1. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit
  2. Pornoseite Xhamster spricht von Fake-Leak
  3. Mitfahrgelegenheit.de 640.000 Ibans von Mitfahrzentrale-Nutzern kopiert

Digitalcharta: Operation am offenen Herzen der europäischen Demokratie
Digitalcharta
Operation am offenen Herzen der europäischen Demokratie
  1. EU-Kommission Mehrwertsteuer für digitale Medien soll sinken
  2. Vernetzte Geräte Verbraucherminister fordern Datenschutz im Haushalt
  3. Neue Richtlinie EU plant Netzsperren und Staatstrojaner

Garamantis: Vorsicht Vitrine, anfassen erwünscht!
Garamantis
Vorsicht Vitrine, anfassen erwünscht!
  1. Gentechnik Mediziner setzen einem Menschen Crispr-veränderte Zellen ein
  2. Zarm Zehn Sekunden schwerelos
  3. Mikroelektronik Wie eine Vakuumröhre - nur klein, stromsparend und schnell

  1. Re: Abos verliert man nicht...

    SchmuseTigger | 12:22

  2. Re: Wegen Galiumnitrid? Sonst nichts?

    Apfelbrot | 12:19

  3. Tada!

    Kleine Schildkröte | 12:17

  4. Nützt nix

    Ein Spieler | 12:12

  5. Re: Science Fiction

    merlinhst123 | 12:07


  1. 11:12

  2. 09:02

  3. 18:27

  4. 18:01

  5. 17:46

  6. 17:19

  7. 16:37

  8. 16:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel