Abo
  • Services:
Anzeige
Apple Pay lässt sich für Kreditkartenmissbrauch nutzen.
Apple Pay lässt sich für Kreditkartenmissbrauch nutzen. (Bild: Screenshot Golem.de)

Es gibt auch technische Schwachstellen

Dewey präsentierte nicht nur Social-Engineering-Angriffe, sondern auch technische Möglichkeiten, um das System zu überlisten. Dafür machte er sich eine Designschwäche zunutze. Hat ein Angreifer Kontrolle über ein iTunes-Konto mit einer Kreditkarte, kann er diese Karte direkt für Apple Pay nutzen, selbst wenn in den Einstellungen nicht die vollständige Nummer angezeigt wird - die App bietet mit einem Button an, eine bestehende Karte zu importieren. Lediglich der Sicherheitscode (CVV-Nummer) muss erneut eingegeben werden - dieser kann aber relativ leicht durch einen Bruteforce-Angriff ermittelt werden.

Anzeige

Dazu hat Dewey eine iPhone-App erstellt, die genau das tut. Über das Apple-Pay-Gateway werden hunderte Kombinationen durchprobiert. Bei einer relativen Dauer von 500 Millisekunden pro Versuch lässt sich eine CVV im Schnitt im schlechtesten Fall innerhalb von einer bis eineinhalb Stunden ermitteln. In der Livedemonstration ging das deutlich schneller und dauerte nur wenige Minuten.

Keine Sperre gegen CVV-Bruteforcing

In diesem Fall haben also weder Apple Pay noch die ausgebenden Institute eine wirksame Sperre gegen das automatisierte Ausprobieren hunderter CVVs. Der Konkurrent Samsung-Pay habe eine solche Schwachstelle nicht, sagte Dewey. Ob der Bruteforce-Angriff möglich ist, hängt also maßgeblich vom ausgebenden Institut ab, doch auch Apple könnte das mit relativ geringem Aufwand verhindern. Dewey testete vier verschiedene Anbieter. Es ist davon auszugehen, dass es sich bei allen Beispielen um US-Institute handelt, auch wenn das nicht explizit erwähnt wurde.

Doch warum sollten Kriminelle überhaupt Apple Pay nutzen, um die Daten zu Geld zu machen? Einerseits sind die Geräte für physische Kartenkopien relativ teuer. Außerdem wird es durch die Verbreitung von Chip-und-Pin-Verfahren komplizierter, funktionierende Doubletten herzustellen. Wird Apple Pay genutzt, wertet das System die Transaktion mit Apple Pay als Card-Present-Transaktion und weist ihr somit ein höheres Vertrauenslevel zu als zum Beispiel bei einer Onlinetransaktion. Damit wird ein für Kriminelle relativ günstiger Datensatz zu einer fast vollwertigen Kartenkopie.

Die Apple Pay zugrundeliegenden kryptographischen Systeme gelten bislang als sicher. Im vergangenen Jahr hat Apple bereits einiges unternommen, um gegen den Missbrauch seines Systems durch Betrüger vorzugehen. Doch offenbar ist das noch nicht genug - und es ist eine engere Abstimmung mit den jeweiligen Banken und Finanzinstituten notwendig.

 Security: Wie Betrüger Apple Pay missbrauchen können

eye home zur Startseite
EvilSheep 03. Mär 2016

Hm höchstens weil dann zu viele den Support anrufen und sich beschweren das ihre Karte...

EvilSheep 03. Mär 2016

Ich denke hier kann man im Gegensatz zu den meisten Fällen wirklich von hacken sprechen...

Bill Carson 03. Mär 2016

Zu wenig Verbreitung, immernoch zu schlechtes Image.



Anzeige

Stellenmarkt
  1. BG-Phoenics GmbH, München
  2. cab Produkttechnik GmbH & Co. KG, Karlsruhe
  3. Swiss Post Solutions GmbH, Hallstadt bei Bamberg, Pulsnitz bei Dresden
  4. Robert Bosch GmbH, Berlin


Anzeige
Top-Angebote
  1. (heute u. a. mit Sony TVs, Radios und Lautsprechern, 4K-Blu-rays und Sennheiser Kopfhörern)
  2. Aktuell nicht bestellbar. Gelegentlich bezüglich Verfügbarkeit auf der Bestellseite nachschauen.

Folgen Sie uns
       


  1. Streaming

    Update für Fire TV bringt Lupenfunktion

  2. Entlassungen

    HPE wird wohl die Mitarbeiterzahl dezimieren

  3. Satellitennavigation

    Neuer Broadcom-Chip macht Ortung per Mobilgerät viel genauer

  4. VR

    Was HTC, Microsoft und Oculus mit Autos zu tun haben

  5. Razer-CEO Tan

    Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

  6. VW-Programm

    Jeder Zehnte tauscht Diesel gegen Elektroantrieb

  7. Spaceborne Computer

    HPEs Weltraumcomputer rechnet mit 1 Teraflops

  8. Unterwegs auf der Babymesse

    "Eltern vibrieren nicht"

  9. Globalfoundries

    AMD nutzt künftig die 12LP-Fertigung

  10. Pocketbeagle

    Beaglebone passt in die Hosentasche



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe
  2. Anki Cozmo ausprobiert Niedlicher Programmieren lernen und spielen

Edge Computing: Randerscheinung mit zentraler Bedeutung
Edge Computing
Randerscheinung mit zentraler Bedeutung
  1. Software AG Cumulocity IoT bringt das Internet der Dinge für Einsteiger
  2. DDoS 30.000 Telnet-Zugänge für IoT-Geräte veröffentlicht
  3. Deutsche Telekom Narrowband-IoT-Servicepakete ab 200 Euro

Mobilestudio Pro 16 im Test: Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
Mobilestudio Pro 16 im Test
Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  1. Wacom Vorschau auf Cintiq-Stift-Displays mit 32 und 24 Zoll

  1. Re: Klassische Verschlimmbesserung

    atikalz | 13:20

  2. Re: Was hat das mit "Die PARTEI" zui tun?

    blariog | 13:20

  3. Re: Nur die Socke!

    elcaron | 13:19

  4. Re: Eltern leben in einer Welt aus Angst

    mtb1980 | 13:18

  5. Re: Es nervt!!!

    Ach | 13:18


  1. 13:26

  2. 12:49

  3. 12:36

  4. 12:08

  5. 11:30

  6. 10:13

  7. 09:56

  8. 09:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel