|
16.04.2026
14:34 Uhr
|
Mit dem Expressmodus kann man in U-Bahn-Systemen wie in London oder New York schnell sein Ticket per NFC bezahlen. Besteht hier eine Sicherheitslücke?
iPhone und Apple Watch verfügen im Rahmen von Apple Pay über eine Funktion, die die Nutzung von Nahverkehrssystemen in aller Welt erleichtern soll. Mit dem sogenannten Expressmodus muss man sein Gerät nur noch an das Lesegerät an der Zugangssperre halten und löst dann automatisch sein Ticket über eine hinterlegte Kreditkarte. Das geht etwa in der New Yorker U-Bahn oder in London. Ein Entsperren des Apple-Geräts per Fingerabdruck, Gesichtserkennung oder PIN ist nicht notwendig, sofern man den Expressmodus aktiviert hat.
Doch wie sicher ist das? Wäre es möglich, so auf fremde Kosten mit der bei Apple Pay hinterlegten Kreditkarte einzukaufen? Ein Video des bekannten Wissenschaftskanals Veritasium hat das nun näher untersucht. Das Ergebnis: Mit (ziemlich viel) Mühe und spezieller Hardware sowie Karten eines bestimmten Kreditkartenausgebers konnte dem bekannten YouTuber MKBHD bei einem Testlauf eine größere Geldsumme entwendet werden.
Gänzlich neu ist der Ansatz nicht, bereits 2021 konnten Sicherheitsforscher der Hochschulen Surrey und Birmingham das Vorgehen demonstrieren. Allerdings scheint sich seither wenig getan zu haben. Der Grund: Visa, der Kartenausgeber, der davon betroffen ist, meint, es sei unwahrscheinlich, dass es in der Praxis zu dem Angriff kommt. Zudem, sagte Apple gegenüber Veritasium, habe Visa mitgeteilt, dass der übliche Zahlungsschutz greift. Betroffene können die Kreditkartenbuchung also widerrufen, selbst wenn das mit viel Ärger verbunden sein dürfte.
Der Angriff selbst ist eine Man-in-the-Middle-Attacke: Das iPhone wird auf ein manipuliertes NFC-Lesegerät gelegt, das sich als legitimes ÖPNV-Terminal ausgibt. Es zieht Zahlungsdaten vom iPhone drahtlos ab, die dann wiederum an ein Notebook weitergereicht werden, auf dem sie mittels Python-Skript manipuliert werden. Die Informationen werden anschließend auf ein Burner-Gerät – offenbar ein Android-Telefon, das gerootet wurde – weitergeleitet. Letzteres führt dann die Transaktion auch tatsächlich aus, wenn es auf einen Kartenleser gelegt wird – mit den iPhone-Daten. Der manipulierte Leser musste die gleiche Terminal-ID haben wie ein legitimes Tap-to-Pay-Terminal in einer ÖPNV-Station. Die komplexe Methode funktioniert nicht mit Mastercard und American Express, da es hier offenbar weniger leicht ist, legitime Daten an das Android-Gerät weiterzuleiten.
Interessant: Eines der von den Forschern entdeckten Probleme war, dass iOS in der aktuellen Form offenbar darauf vertraut, dass das NFC-Lesegerät angibt, dass es sich bei der abgefragten Summe um eine geringe handelt. Tatsächlich gegen die Zahl geprüft wird das aber nicht, es wird nur ein Flag gelesen und diesem dann geglaubt. Bei Geräten anderer Hersteller wie Samsung sei das nicht so, sagt Veritasium. So sind dort nur 0-US-Dollar-Transaktionen an ÖPNV-Terminals erlaubt, die Abrechnung erfolgt erst am Tagesende, wenn ein ÖPNV-Anbieter diese zusammengestellt hat. Das heißt: Es kann derzeit noch dem iPhone vorgegaukelt werden, dass es sich um eine Kleinzahlung handelt, die für den Expressmodus üblich sind, während dann tatsächlich 10.000 Dollar abgebucht wurden.
Es ist unklar, ob Kriminelle die komplexe Methode tatsächlich einsetzen. Wer auf Nummer sicher gehen will, nutzt den ÖPNV-Expressmodus nicht mit Visa-Karten. Dann sollte die Angriffsform grundsätzlich nicht möglich sein.
Die Methode funktioniert nur, weil Visa im Falle von Kartenterminals, die online sind, auf symmetrische Verschlüsselung verzichtet – somit ist es überhaupt erst möglich, die Transaktion zu manipulieren. Daher muss sichergestellt sein, dass das Kartenterminal, mit dem die Kriminellen shoppen gehen, online ist, was bei ÖPNV-Terminals eigentlich nicht der Fall ist. Dazu erfolgt aber kein Abgleich.
Am besten dürfte die Methode mit geklauten iPhones funktionieren, sagen die Forscher – also solchen, bei denen der Angreifer nicht über die Geräte-PIN oder die biometrischen Merkmale verfügt und dann dennoch den ÖPNV-Expressmodus missbrauchen kann. Visa gab gegenüber Veritasium an, dass man nicht davon ausgeht, dass die Angriffsform real so wie gezeigt vorkommt, obwohl sie seit über fünf Jahren bekannt ist. Wieso der Konzern symmetrische Verschlüsselung bei Online-Terminals nicht einfach erzwingt, wie das Amex und Mastercard tun, bleibt unklar. Apple selbst hat, wie der Konzern bereits mitteilte, keine Kontrolle über diese Entscheidung.
(bsc)