Eine Kombination von Fehlern sowohl in der Express-ÖPNV-Funktion von Apple Pay als auch im System von Visa macht Karten angreifbar, laut einer neuen Sicherheitsforschung.
Informatikforscher der University of Birmingham und der University of Surrey haben einen Bericht über den neuen Fehlercocktail auf GitLab veröffentlicht. Ihre Forschung zeigt, dass es jemandem möglich ist, betrügerische Zahlungen zu generieren, selbst wenn das iPhone gesperrt ist. Das Risiko ergibt sich aus der Mischung aus Apple Pays Express Transit (alias Express Travel) und dem Kreditkartensystem von Visa, was bedeutet, dass andere Kreditkartenmarken und Zahlungsmethoden nicht betroffen sind.
Die Sicherheitslücke wird speziell geschaffen, wenn Sie eine Visa-Kreditkarte für Express Transit eingerichtet haben, die kontaktlose Zahlungen für Nahverkehrszwecke ermöglicht. Dem Bericht zufolge können Probleme auftreten, wenn ein Angreifer ein kontaktloses EMV-Lesegerät wie Clover oder Square verwendet.
Mit der richtigen Vorbereitung wären Angreifer in der Lage, „…den Sperrbildschirm von Apple Pay zu umgehen und unerlaubt von einem gesperrten iPhone aus zu bezahlen.“Unabhängig davon, ob das Telefon gestohlen oder sicher in einem Rucksack verstaut ist, können sie betrügerische Anklagen erheben, wenn sie nahe genug herankommen.
Sowohl Apple als auch Visa wurden auf das Problem aufmerksam gemacht (im Oktober 2020 bzw. Mai 2021), haben sich aber noch nicht entschieden, wer eine Lösung implementieren wird.
Beachten Sie, dass dieses Sicherheitsrisiko nur Benutzer von Express-ÖPNV/Reisen betrifft, die eine Visa-Karte als Zahlungsmittel eingestellt haben. Wenn Sie einen anderen Zahlungsdienst oder Express-ÖPNV mit einer anderen Art von Kreditkarte verwenden, sind Sie davon nicht betroffen.
Wenn Sie den Service mit einer Visa-Karte nutzen, wird dringend empfohlen, die Verwendung von Visa als Transportkarte einzustellen und vorerst auf etwas anderes umzusteigen.