• IT-Karriere:
  • Services:

Es gibt auch technische Schwachstellen

Dewey präsentierte nicht nur Social-Engineering-Angriffe, sondern auch technische Möglichkeiten, um das System zu überlisten. Dafür machte er sich eine Designschwäche zunutze. Hat ein Angreifer Kontrolle über ein iTunes-Konto mit einer Kreditkarte, kann er diese Karte direkt für Apple Pay nutzen, selbst wenn in den Einstellungen nicht die vollständige Nummer angezeigt wird - die App bietet mit einem Button an, eine bestehende Karte zu importieren. Lediglich der Sicherheitscode (CVV-Nummer) muss erneut eingegeben werden - dieser kann aber relativ leicht durch einen Bruteforce-Angriff ermittelt werden.

Stellenmarkt
  1. Sumitomo Electric Bordnetze SE, Wolfsburg-Hattorf
  2. Psychiatrisches Zentrum Nordbaden, Wiesloch

Dazu hat Dewey eine iPhone-App erstellt, die genau das tut. Über das Apple-Pay-Gateway werden hunderte Kombinationen durchprobiert. Bei einer relativen Dauer von 500 Millisekunden pro Versuch lässt sich eine CVV im Schnitt im schlechtesten Fall innerhalb von einer bis eineinhalb Stunden ermitteln. In der Livedemonstration ging das deutlich schneller und dauerte nur wenige Minuten.

Keine Sperre gegen CVV-Bruteforcing

In diesem Fall haben also weder Apple Pay noch die ausgebenden Institute eine wirksame Sperre gegen das automatisierte Ausprobieren hunderter CVVs. Der Konkurrent Samsung-Pay habe eine solche Schwachstelle nicht, sagte Dewey. Ob der Bruteforce-Angriff möglich ist, hängt also maßgeblich vom ausgebenden Institut ab, doch auch Apple könnte das mit relativ geringem Aufwand verhindern. Dewey testete vier verschiedene Anbieter. Es ist davon auszugehen, dass es sich bei allen Beispielen um US-Institute handelt, auch wenn das nicht explizit erwähnt wurde.

Doch warum sollten Kriminelle überhaupt Apple Pay nutzen, um die Daten zu Geld zu machen? Einerseits sind die Geräte für physische Kartenkopien relativ teuer. Außerdem wird es durch die Verbreitung von Chip-und-Pin-Verfahren komplizierter, funktionierende Doubletten herzustellen. Wird Apple Pay genutzt, wertet das System die Transaktion mit Apple Pay als Card-Present-Transaktion und weist ihr somit ein höheres Vertrauenslevel zu als zum Beispiel bei einer Onlinetransaktion. Damit wird ein für Kriminelle relativ günstiger Datensatz zu einer fast vollwertigen Kartenkopie.

Die Apple Pay zugrundeliegenden kryptographischen Systeme gelten bislang als sicher. Im vergangenen Jahr hat Apple bereits einiges unternommen, um gegen den Missbrauch seines Systems durch Betrüger vorzugehen. Doch offenbar ist das noch nicht genug - und es ist eine engere Abstimmung mit den jeweiligen Banken und Finanzinstituten notwendig.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Security: Wie Betrüger Apple Pay missbrauchen können
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

EvilSheep 03. Mär 2016

Hm höchstens weil dann zu viele den Support anrufen und sich beschweren das ihre Karte...

EvilSheep 03. Mär 2016

Ich denke hier kann man im Gegensatz zu den meisten Fällen wirklich von hacken sprechen...

Bill Carson 03. Mär 2016

Zu wenig Verbreitung, immernoch zu schlechtes Image.


Folgen Sie uns
       


Die Tesla-Baustelle von oben (März-August 2020)

Wir haben den Fortschritt in Grünheide dokumentiert.

Die Tesla-Baustelle von oben (März-August 2020) Video aufrufen
CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen

Corsair K60 RGB Pro im Test: Teuer trotz Viola
Corsair K60 RGB Pro im Test
Teuer trotz Viola

Corsair verwendet in der K60 Pro RGB als erster Hersteller Cherrys neue preiswerte Viola-Switches. Anders als Cherrys günstige MY-Schalter aus den 80ern hinterlassen diese einen weitaus besseren Eindruck bei uns - der Preis der Tastatur hingegen nicht.
Ein Test von Tobias Költzsch

  1. Corsair K100 RGB im Test Das RGB-Monster mit der Lichtschranke
  2. Corsair Externes Touchdisplay ermöglicht schnelle Einstellungen
  3. Corsair One a100 im Test Ryzen-Wasserturm richtig gemacht

Xbox, Playstation, Nvidia Ampere: Wo bleiben die HDMI-2.1-Monitore?
Xbox, Playstation, Nvidia Ampere
Wo bleiben die HDMI-2.1-Monitore?

Trotz des Verkaufsstarts der Playstation 5 und Xbox Series X fehlt von HDMI-2.1-Displays jede Spur. Fündig werden wir erst im TV-Segment.
Eine Analyse von Oliver Nickel

  1. AV-Receiver Fehlerhafte HDMI-2.1-Chips führen zu Blackscreen

    •  /