Recherchen fanden eine Schwachstelle im Zahlungssystem von Apple Pay und Visa. Nachdem sie einen Fehler gefunden haben, mit dem Betrüger Sicherheitsmaßnahmen umgehen und unbegrenzt kontaktlos einkaufen können, haben Forscher iPhone-Benutzer aufgefordert, Visa als Transportkarte mit Apple Pay zu kündigen.
Experten der University of Birmingham und der University of Surrey äußerten Bedenken, dass der Fehler verwendet werden könnte, um Transaktionen von einem iPhone im Gepäck einer Person durchzuführen, ohne dass diese es wissen.
Es gibt eine Sicherheitslücke im Zahlungssystem von Apple Pay und Visa
Das Problem soll nur bei Apple Pay auftreten, wenn eine Visa-Karte als Express Travel Card, auch bekannt als Express Transit-Modus, eingerichtet ist. Das Team verwendete einfache Funkgeräte, um dem iPhone vorzutäuschen, dass es mit einem Transit-Gate kommuniziert, obwohl es in Wirklichkeit ein Zahlungsleser war. Dies wurde durch die Erkennung eines einzigartigen Codes erreicht, der von Transittoren gesendet wurde und dann verwendet wurde, um die Signale zwischen dem iPhone und einem Shopkartenleser zu stören.
Dr. Tom Chothia von der University of Birmingham sagte: „iPhone-Besitzer sollten überprüfen, ob sie eine Visa-Karte für Transitzahlungen eingerichtet haben, und wenn ja, sollten sie diese deaktivieren. Es besteht keine Notwendigkeit für Apple Pay-Benutzer, in Gefahr zu sein, aber bis Apple oder Visa dies beheben, sind sie es.“
Die Tests der Gruppe ergaben, dass die Betrugserkennungsprüfungen im Back-End keine Zahlungen verhindern konnten. Die Forscher sagten, sie hätten mit Apple und Visa über die Sicherheitsanfälligkeit gesprochen und behaupteten, beide hätten die Bedeutung des zugrunde liegenden Problems anerkannt, aber noch keine Einigung darüber erzielt, wer eine Lösung implementieren soll.
“Variationen von kontaktlosen Betrugsversuchen werden seit mehr als einem Jahrzehnt in Laborumgebungen untersucht und haben sich in der realen Welt als unpraktisch erwiesen”, sagte eine Visa-Sprecherin. „Visa nimmt alle Sicherheitsbedrohungen sehr ernst und wir arbeiten unermüdlich daran, die Zahlungssicherheit im gesamten Ökosystem zu stärken“, fügte sie hinzu.
Dann antwortete Apple mit: „Wir nehmen jede Bedrohung der Sicherheit der Benutzer sehr ernst. Dies ist bei einem Visa-System ein Problem, aber Visa glaubt nicht, dass diese Art von Betrug in der realen Welt aufgrund der mehreren Sicherheitsebenen wahrscheinlich ist. Für den unwahrscheinlichen Fall, dass eine nicht autorisierte Zahlung erfolgt, hat Visa klargestellt, dass ihre Karteninhaber durch die Null-Haftungs-Politik von Visa geschützt sind.“
Apple und Visa konnten sich nicht einigen
Dr. Andreea Radu, die Leiterin der Studie, kommentierte: „Unsere Arbeit zeigt ein klares Beispiel für eine Funktion, die das Leben inkrementell erleichtern soll, die nach hinten losgeht und sich negativ auf die Sicherheit auswirkt, mit potenziell schwerwiegenden finanziellen Folgen für die Benutzer.“
„Unsere Gespräche mit Apple und Visa haben gezeigt, dass, wenn zwei Branchenparteien jeweils eine Teilschuld tragen, keiner bereit ist, die Verantwortung zu übernehmen und eine Lösung zu implementieren, wodurch die Benutzer auf unbestimmte Zeit verwundbar bleiben“, fügte er hinzu.
Die Sicherheitslücke gilt nicht für andere Kombinationen wie Mastercard bei iPhones oder Visa bei Samsung Pay. Die vollständigen Ergebnisse der Forscher werden auf dem IEEE Symposium on Security and Privacy 2022 vorgestellt.
