Abo
  • Services:

Es gibt auch technische Schwachstellen

Dewey präsentierte nicht nur Social-Engineering-Angriffe, sondern auch technische Möglichkeiten, um das System zu überlisten. Dafür machte er sich eine Designschwäche zunutze. Hat ein Angreifer Kontrolle über ein iTunes-Konto mit einer Kreditkarte, kann er diese Karte direkt für Apple Pay nutzen, selbst wenn in den Einstellungen nicht die vollständige Nummer angezeigt wird - die App bietet mit einem Button an, eine bestehende Karte zu importieren. Lediglich der Sicherheitscode (CVV-Nummer) muss erneut eingegeben werden - dieser kann aber relativ leicht durch einen Bruteforce-Angriff ermittelt werden.

Stellenmarkt
  1. Holl Flachdachbau GmbH & Co. KG Isolierungen, Fellbach bei Stuttgart
  2. Controlware GmbH, Ingolstadt

Dazu hat Dewey eine iPhone-App erstellt, die genau das tut. Über das Apple-Pay-Gateway werden hunderte Kombinationen durchprobiert. Bei einer relativen Dauer von 500 Millisekunden pro Versuch lässt sich eine CVV im Schnitt im schlechtesten Fall innerhalb von einer bis eineinhalb Stunden ermitteln. In der Livedemonstration ging das deutlich schneller und dauerte nur wenige Minuten.

Keine Sperre gegen CVV-Bruteforcing

In diesem Fall haben also weder Apple Pay noch die ausgebenden Institute eine wirksame Sperre gegen das automatisierte Ausprobieren hunderter CVVs. Der Konkurrent Samsung-Pay habe eine solche Schwachstelle nicht, sagte Dewey. Ob der Bruteforce-Angriff möglich ist, hängt also maßgeblich vom ausgebenden Institut ab, doch auch Apple könnte das mit relativ geringem Aufwand verhindern. Dewey testete vier verschiedene Anbieter. Es ist davon auszugehen, dass es sich bei allen Beispielen um US-Institute handelt, auch wenn das nicht explizit erwähnt wurde.

Doch warum sollten Kriminelle überhaupt Apple Pay nutzen, um die Daten zu Geld zu machen? Einerseits sind die Geräte für physische Kartenkopien relativ teuer. Außerdem wird es durch die Verbreitung von Chip-und-Pin-Verfahren komplizierter, funktionierende Doubletten herzustellen. Wird Apple Pay genutzt, wertet das System die Transaktion mit Apple Pay als Card-Present-Transaktion und weist ihr somit ein höheres Vertrauenslevel zu als zum Beispiel bei einer Onlinetransaktion. Damit wird ein für Kriminelle relativ günstiger Datensatz zu einer fast vollwertigen Kartenkopie.

Die Apple Pay zugrundeliegenden kryptographischen Systeme gelten bislang als sicher. Im vergangenen Jahr hat Apple bereits einiges unternommen, um gegen den Missbrauch seines Systems durch Betrüger vorzugehen. Doch offenbar ist das noch nicht genug - und es ist eine engere Abstimmung mit den jeweiligen Banken und Finanzinstituten notwendig.

 Security: Wie Betrüger Apple Pay missbrauchen können
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. (u. a. RT-AC5300 + Black Ops 4 für 255,20€ + Versand statt ca. 305€ im Vergleich und Blue Cave...
  2. mit Gutschein: HARDWARE50 (nur für Neukunden, Warenwert 104 - 1.000 Euro)

EvilSheep 03. Mär 2016

Hm höchstens weil dann zu viele den Support anrufen und sich beschweren das ihre Karte...

EvilSheep 03. Mär 2016

Ich denke hier kann man im Gegensatz zu den meisten Fällen wirklich von hacken sprechen...

Bill Carson 03. Mär 2016

Zu wenig Verbreitung, immernoch zu schlechtes Image.


Folgen Sie uns
       


Sky Ticket TV-Stick im Test

Wir haben den Sky Ticket TV Stick getestet. Der Streamingstick mit Fernbedienung bringt Sky Ticket auf den Fernseher, wenn dieser den Streamingdienst des Pay-TV-Anbieters nicht unterstützt. Auf dem Stick läuft das aktuelle Sky Ticket, das im Vergleich zur Vorgängerversion erheblich verbessert wurde. Den Sky Ticket TV gibt es quasi kostenlos, weil dieser nur zusammen mit passenden Sky-Ticket-Abos im Wert von 30 Euro angeboten wird.

Sky Ticket TV-Stick im Test Video aufrufen
SpaceX: Milliardär will Künstler mit zum Mond nehmen
SpaceX
Milliardär will Künstler mit zum Mond nehmen

Ein japanischer Milliardär ist der mysteriöse erste Kunde von SpaceX, der um den Mond fliegen will. Er will eine Gruppe von Künstlern zu dem Flug einladen. Die Pläne für das Raumschiff stehen kurz vor der Fertigstellung.
Von Frank Wunderlich-Pfeiffer

  1. Mondwettbewerb Niemand gewinnt den Google Lunar X-Prize

Segelflug: Die Höhenflieger
Segelflug
Die Höhenflieger

In einem Experimental-Segelflugzeug von Airbus wollen Flugenthusiasten auf gigantischen Luftwirbeln am Rande der Antarktis fast 30 Kilometer hoch aufsteigen - ganz ohne Motor. An Bord sind Messinstrumente, die neue und unverfälschte Daten für die Klimaforschung liefern.
Ein Bericht von Daniel Hautmann

  1. Luftfahrt Nasa testet leise Überschallflüge
  2. Low-Boom Flight Demonstrator Lockheed baut leises Überschallflugzeug
  3. Elektroflieger Norwegen will elektrisch fliegen

Elektroroller-Verleih Coup: Zum Laden in den Keller gehen
Elektroroller-Verleih Coup
Zum Laden in den Keller gehen

Wie hält man eine Flotte mit 1.000 elektrischen Rollern am Laufen? Die Bosch-Tochter Coup hat in Berlin einen Blick hinter die Kulissen der Sharing-Wirtschaft gewährt.
Ein Bericht von Friedhelm Greis

  1. Neue Technik Bosch verkündet Durchbruch für saubereren Diesel
  2. Halbleiterwerk Bosch beginnt Bau neuer 300-mm-Fab in Dresden
  3. Zu hohe Investionen Bosch baut keine eigenen Batteriezellen

    •  /