Original-URL des Artikels: https://www.golem.de/news/security-wie-betrueger-apple-pay-missbrauchen-koennen-1603-119537.html    Veröffentlicht: 03.03.2016 08:01    Kurz-URL: https://glm.io/119537

Security

Wie Betrüger Apple Pay missbrauchen können

Apple Pay ist praktisch und gilt als sicher. Doch das System lässt sich von Kriminellen missbrauchen, um digitale Kreditkartenkopien zu erstellen.

Betrüger können illegal kopierte Kreditkartendaten nutzen, indem sie die Daten bei Apple Pay eingeben und autorisieren. Das funktioniert bei den Karten vieler Anbieter erstaunlich gut, wie auf der RSA-Conference in San Francisco gezeigt wurde. Problematisch sei dabei vor allem die lasche Authentifizierungspraxis der kartenausgebenden Institute, doch es gebe auch einiges, was Apple verbessern könnte, sagte David Dewey von Pindrop. Nach Berichten über Missbrauch mit dem neuen Zahlungsstandard hat Dewey über mehrere Monate getestet, ob und wie einfach Kreditkarten hinzugefügt werden können - sein Ergebnis ist ernüchternd.

Wird eine neue Karte bei Apple Pay hinzugefügt, muss diese authentifiziert werden. Wie der Prozess technisch funktioniert, ist nicht genau bekannt, es können lediglich Hinweise per Reverse-Engineering gewonnen werden. Die Banken können aus verschiedenen Möglichkeiten wählen, um die Karte bestätigen zu lassen. Alternativen sind zum Beispiel E-Mail, SMS oder ein Gespräch mit dem Kundenservice. Kunden können eine der Möglichkeiten auswählen. Betrüger würden in der Regel das persönliche Gespräch bevorzugen, weil sie darin am meisten Kontrolle über die Situation gewinnen würden, sagte Dewey.

Gespräche lassen sich leicht manipulieren

Im Gespräch müssen dann persönliche Fragen beantwortet werden, etwa nach dem Wohnort, Familienstand oder Verwandten und Bekannten. Die Antworten auf solche Fragen lassen sich jedoch oft ohne Probleme in sozialen Netzwerken oder auf anderen Aggregator-Diensten finden und stellen somit keine große Hürde da.

In vielen Fällen verzichteten die Banken sogar auf diese Form der Authentifizierung - etwa wenn der im iTunes-Konto angegebene Name mit dem Namen auf der Kreditkarte übereinstimme, sagte Dewey. Das ist als Sicherheitspraxis problematisch, weil diese Information komplett unter der Kontrolle des Angreifers ist.

Apple weist allen für Apple Pay verwendeten iTunes-Accounts ein individuelles Risikolevel zu. Auch hier ist nicht ganz klar, wie genau das funktioniert. Denkbar ist, dass Daten vorheriger Transaktionen in die Bewertung einfließen, außerdem Hinweise aus der Apple-Pay-Historie selbst. Wer also ständig verschiedene Kreditkarten mit verschiedenen Namen hinzufügt, könnte unter Umständen eine schlechtere Bewertung bekommen. In der Praxis war es aber laut Dewey ohne Probleme möglich, eine bestimmte Kreditkarte unter einem Apple-Pay-Namen zu registrieren, wieder zu entfernen und später erneut unter einem anderen Namen anzumelden, ohne dass das zu direkten Account-Sperrungen oder ähnlichem geführt hätte.

Es gibt auch technische Schwachstellen

Dewey präsentierte nicht nur Social-Engineering-Angriffe, sondern auch technische Möglichkeiten, um das System zu überlisten. Dafür machte er sich eine Designschwäche zunutze. Hat ein Angreifer Kontrolle über ein iTunes-Konto mit einer Kreditkarte, kann er diese Karte direkt für Apple Pay nutzen, selbst wenn in den Einstellungen nicht die vollständige Nummer angezeigt wird - die App bietet mit einem Button an, eine bestehende Karte zu importieren. Lediglich der Sicherheitscode (CVV-Nummer) muss erneut eingegeben werden - dieser kann aber relativ leicht durch einen Bruteforce-Angriff ermittelt werden.

Dazu hat Dewey eine iPhone-App erstellt, die genau das tut. Über das Apple-Pay-Gateway werden hunderte Kombinationen durchprobiert. Bei einer relativen Dauer von 500 Millisekunden pro Versuch lässt sich eine CVV im Schnitt im schlechtesten Fall innerhalb von einer bis eineinhalb Stunden ermitteln. In der Livedemonstration ging das deutlich schneller und dauerte nur wenige Minuten.

Keine Sperre gegen CVV-Bruteforcing

In diesem Fall haben also weder Apple Pay noch die ausgebenden Institute eine wirksame Sperre gegen das automatisierte Ausprobieren hunderter CVVs. Der Konkurrent Samsung-Pay habe eine solche Schwachstelle nicht, sagte Dewey. Ob der Bruteforce-Angriff möglich ist, hängt also maßgeblich vom ausgebenden Institut ab, doch auch Apple könnte das mit relativ geringem Aufwand verhindern. Dewey testete vier verschiedene Anbieter. Es ist davon auszugehen, dass es sich bei allen Beispielen um US-Institute handelt, auch wenn das nicht explizit erwähnt wurde.

Doch warum sollten Kriminelle überhaupt Apple Pay nutzen, um die Daten zu Geld zu machen? Einerseits sind die Geräte für physische Kartenkopien relativ teuer. Außerdem wird es durch die Verbreitung von Chip-und-Pin-Verfahren komplizierter, funktionierende Doubletten herzustellen. Wird Apple Pay genutzt, wertet das System die Transaktion mit Apple Pay als Card-Present-Transaktion und weist ihr somit ein höheres Vertrauenslevel zu als zum Beispiel bei einer Onlinetransaktion. Damit wird ein für Kriminelle relativ günstiger Datensatz zu einer fast vollwertigen Kartenkopie.

Die Apple Pay zugrundeliegenden kryptographischen Systeme gelten bislang als sicher. Im vergangenen Jahr hat Apple bereits einiges unternommen, um gegen den Missbrauch seines Systems durch Betrüger vorzugehen. Doch offenbar ist das noch nicht genug - und es ist eine engere Abstimmung mit den jeweiligen Banken und Finanzinstituten notwendig.  (hg)


Verwandte Artikel:
Siri: Apple wird wegen Patentverletzung verklagt   
(11.03.2018, https://glm.io/133268 )
Amazon Neptune: AWS-Graphdatenbank skaliert und repliziert sich selbst   
(01.12.2017, https://glm.io/131442 )
Betrug: Cuphead-Klon schafft es in den App Store   
(19.12.2017, https://glm.io/131751 )
Bitcoin und Ether: US-Kreditkartenunternehmen sperren Kauf von Kryptowährungen   
(03.02.2018, https://glm.io/132565 )
Sicherheitslücke: Kaspersky schlampt bei TLS-Zertifikatsprüfung   
(04.01.2017, https://glm.io/125369 )

© 1997–2019 Golem.de, https://www.golem.de/