Das Bezahlen mit dem Smartphone wird immer beliebter. Kein Wunder: Es ist praktisch, einfach zu handhaben und zudem sehr sicher. Eigentlich. Eine Kombination von Lücken erlaubt es Kriminellen allerdings, von den iPhones ihrer Opfer auch ohne deren Zustimmung oder Sicherheitsabfrage quasi unbegrenzt Geld über Apple Pay abzubuchen. Dass die Lücke noch besteht, hat einen erstaunlichen Grund.
Eigentlich wurde der Hack nämlich schon vor fünf Jahren beschrieben, ein Video des auf Wissenschaftsthemen spezialisierten Youtube-Kanals Veritasium holt das Thema aber aktuell zurück auf die Bühne. In dem Clip gelingt es Moderator Henry van Dyck, dem bekannten Tech-Youtuber Marques Brownlee zuerst fünf und dann ganze 10.000 Dollar von dessen iPhone abzubuchen – obwohl das Gerät gesperrt ist. „Das ist schlecht“, staunt der sonst sehr beherrschte Youtube-Star.
So funktioniert der Apple-Pay-Hack
Möglich ist der Angriff durch eine Kombination mehrerer Elemente. Das iPhone wird dabei kurz mit einem NFC-Leser verbunden. Die Technologie erlaubt es Geräten, sich über kurze Distanz zu verbinden, auch Bezahlterminals funktionieren auf diese Weise. Das NFC-Gerät leitet die Daten bei diesem Angriff an einen Laptop weiter. Mit einem zweiten Smartphone kann man anschließend an einem echten Bezahlterminal zahlen – als würde man das iPhone direkt daranhalten. Der Clou: Die Abbuchung funktioniert ohne jegliche Sicherheitsabfrage auf dem iPhone – und sogar, wenn das Gerät nicht einmal entsperrt ist. Zudem gibt es keine Obergrenze. „Man kann so viel abbuchen, wie es das Konto erlaubt“, erklärt Tom Chothia von der Universität Birmingham. Er hatte die Methode bereits 2021 mit seiner Kollegin Ioana Boureaunu erstmals beschrieben.
Doch wie genau funktioniert der Angriff? Zunächst einmal wird eine völlig legitime Funktion ausgenutzt: Die sogenannte Express-ÖPNV-Karte erlaubt es, das iPhone ohne Sicherheitscheck für die Bezahlung in öffentlichen Verkehrsmitteln zu nutzen. Das hat einen praktischen Nutzen: Man kann auch dann U-Bahn fahren, wenn der Akku mal leer ist. Der Angriff nutzt das aus: Das mit dem Laptop verbundene Terminal suggeriert dem iPhone, dass es sich um ein Nahverkehrsterminal handelt, und erhält so die Zahlungsfreigabe in Form eines Codes. Dieser wird auf dem Laptop manipuliert und an das andere Smartphone weitergereicht. Und schon wird eine völlig andere Zahlung freigegeben.
Unbegrenzte Abbuchung
Möglich ist das, weil der Code für die ÖPNV-Terminals recht einfach gestrickt ist. Indem man nur zwei Zahlen ändert, kann man den Zahlvorgang so verändern, dass er plötzlich auch für reguläre Zahlungen funktioniert und dabei auch die Begrenzung auf niedrige Summen deaktiviert wird. In einem weiteren Schritt wird ein Signal eingebaut, dass das Smartphone die Zahlung einer höheren Summe genehmigt hätte – was dann das echte Bezahlterminal zufriedenstellt. Und schon wurde aus einer kurzen Berührung eines vorgeblichen ÖPNV-Lesegeräts eine Zahlung über einen quasi beliebig hohen Betrag.
„Man könnte das nutzen, wenn man es nur kurz gegen das iPhone in der Tasche hält“, erklärt Chothia eine mögliche praktische Nutzung des Angriffs. „Das größte Risiko ist aber natürlich, wenn man physischen Zugriff auf ein verlorenes oder gestohlenes iPhone hat.“ Dann könnte man theoretisch das gesamte Gerät plündern. „Man könnte ein Auto damit kaufen“, so Chothia. Besonders dramatisch ist das, weil die Express-ÖPNV-Karte mit dem Hinzufügen einer kompatiblen Bezahlkarte in Apples Wallet automatisch aktiviert wird.
Kombination aus iPhone und Visa
Dass der Hack nur beim iPhone funktioniert, hängt mit Apples Umsetzung der Express-Karte zusammen. Statt den konkreten Wert der Abbuchung als hoch oder gering zu bewerten, verlässt sich das iPhone auf die Auskunft des Terminals. Andere Smartphones prüfen zusätzlich auch die Summe. Auch auf dem iPhone ist aber nicht jede Karte betroffen: Der Hack funktioniert ausschließlich bei Visa-Kreditkarten, weil diese im Falle einer bestehenden Onlineverbindung auf eine zusätzliche Sicherheitsprüfung verzichten, wie sie etwa Konkurrent Mastercard durchführt.
Das erklärt auch, warum sich die Lücke auch fünf Jahre nach der ersten Entdeckung weiter ausnutzen lässt. Apple verweist darauf, dass Visa für die Prüfung der Zahlung zuständig ist. Der Kreditkartenhersteller hat offenbar aber kein Interesse, sein Vorgehen zu ändern. Und hat dafür eine durchaus einleuchtende Erklärung: „Von 100 Dollar an Zahlungen gehen nur 10 Cent durch Betrug verloren. Bei Zahlungen in Person – wozu dieser Fall zählen würde – geht diese Zahl noch weiter herunter – auf zwei Cent pro 100 Dollar Betrugsverlusten“, rechnet ein Sprecher des Unternehmens vor. Würde es häufiger vorkommen, würde man auch etwas unternehmen, versichert er. Für Betroffene sei Visa aber als Ansprechpartner verfügbar: „Wenn so etwas erfolgreich ist, können sich die Kunden das Geld von Visa zurückholen.“
So schalten Sie die Funktion ab
Wer das trotzdem nicht riskieren und die Kreditkartenabrechnung nicht ständig im Blick haben möchte, kann die Express-Funktion aber auch einfach abschalten – schließlich ist diese Methode in Deutschlands Nahverkehrssystemen ohnehin nicht üblich. Dazu öffnen Sie in den Einstellungen „Zahlung & Kontaktlos“, dann „Wallet & Apple Pay“ und dort den Punkt „Express-ÖPNV-Karte“. Hier müssen Sie den Punkt „Keine“ anwählen, wenn dieser nicht bereits aktiviert ist. Schon ist der Hack nicht mehr möglich.
