Betrüger kassieren Geld aus gesperrtem iPhone

Tom Wannenmacher, 1. Oktober 2021
Artikelbild: Von rzoze19 / Shutterstock.com
Artikelbild: Von rzoze19 / Shutterstock.com

Sicherheitsforscher aus Birmingham und Surrey nutzen Apple-Pay-Funktion „Express Transit“

Für den allgemeinen Zahlungsverkehr gesperrte iPhones können von Betrügern genutzt werden, um größere Mengen an Geld zu erbeuten. Das gelingt ihnen, indem sie die mit Visa-Karten funktionierende Apple-Pay-Funktion „Express Transit“ ausnutzen, die für das schnelle Bezahlen von Tickets an Drehkreuzen der U-Bahn eingesetzt wird, schreibt die „BBC“ unter Berufung auf Forscher der Universitäten Birmingham http://birmingham.ac.uk und Surrey http://surrey.ac.uk .

Gegenseitige Schuldzuweisungen

Die IT-Experten haben auf diese Weise eine kontaktlose Visa-Zahlung über 1.000 britische Pfund von einem gesperrten iPhone aus veranlasst. Sie attackierten nur eigene Konten. Apple gibt indes Visa die Schuld für den erfolgreichen Hack. Visa beteuerte dagegen, dass Zahlungen sicher seien und kritisierte die Umstände des Tests. Die Forscher selbst sagen, das Problem seien Visa-Karten, die im Express-Transit-Modus in der elektronischen Geldbörse eines iPhones eingerichtet sind. Express Transit ermöglicht es etwa Pendlern, schnell kontaktlos zu bezahlen, ohne ihr Telefon zu entsperren, zum Beispiel an einer Londoner U-Bahn-Zugangssperre.

Vereinfacht und bewusst auf wichtige Details verzichtend, funktioniert der Angriff so: Ein kleines, im Handel erhältliches Funkgerät wird in der Nähe eines iPhones platziert. Es gaukelt diesem vor, es handle sich um eine Zugangssperre. Gleichzeitig wird ein Android-Handy, auf dem eine von den Forschern entwickelte Anwendung läuft, verwendet, um Signale vom iPhone an ein kontaktloses Bezahlterminal weiterzuleiten – dies könnte von Kriminellen kontrolliert sein. Weil das iPhone „denkt“, es zahle für die Öffnung einer Zugangssperre, muss es nicht entsperrt werden. In der Zwischenzeit wird die Kommunikation des iPhones mit dem Zahlungsterminal so geändert, dass es sich entsperrt und eine Zahlung autorisiert wird.

Kontinentübergreifend realisierbar

Laut den IT-Forschern müssen sich das verwendete Android-Handy und das Zahlungsterminal nicht in der Nähe des iPhones des Opfers befinden. Sie könnten sogar auf einem anderen Kontinent sein, sagt Ioana Boureanu von der University of Surrey. „Es muss nur eine Internetverbindung geben.“ Ken Munro zufolge, einem Sicherheitsforscher beim Sicherheitsberater Pen Test Partners http://pentestpartners.com in Buckingham und New York, der nicht an dem simulierten Betrug beteiligt war, sollte die Sicherheitslücke umgehend geschlossen werden.

Quelle: pte

Unabhängige Faktenchecks und Recherchen sind wichtig und richtig. Sie fördern Medienkompetenz und Bildung. 

Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fakenews, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt Deine Unterstützung!

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

weitere mimikama-Artikel