Wie Betrüger Sicherheitslücken bei Apple Pay ausnutzen können

08.03.2016

Auch wenn Apple Pay in Deutschland noch nicht eingeführt wurde, so ist es dennoch interessant, das es anderthalb Jahre nach Einführung in den USA immer noch größere Sicherheitslücken gibt. Der für die Sicherheitsfirma Pindrop tätige David Dewey stellte fest, dass das Hinzufügen der Kreditkarten von Arbeitskollegen zum eigenen Apple-Pay-Account problemlos möglich gewesen sei.

Wie Forbes berichtete, habe David Dewey vier fremde Kreditkarten von unterschiedlichen Banken ausprobiert. Bei einer Kreditkarte habe er die Kreditkartennummer, das Gültigkeitsdatum und die Kartenprüfnummer gebraucht, um diese fremde Karte seinem Apple-Pay-Account zuweisen zu können, bei einer anderen habe es gereicht, den Namen des Accounts an den Namen den Kreditkarteninhabers zu ändern. Auch ein Kontrollanruf von einer weiteren kartenausgebenden Bank habe sich ganz einfach überwinden lassen, da er alle nötigen Informationen für die Sicherheitsfragen durch eine Google-Suche finden konnte.

Zudem sei es bei Apple Pay möglich gewesen die fehlenden Informationen ungehindert durchzuprobieren. Eine Brute-Force-Attacke des Sicherheitsforschers erlaubte es, den dreistelligen „Card Validation Code“, also die Kartenprüfnummer, solange einzugeben, bis die zu der jeweiligen Kreditkarte passende gefunden wurde.

Bei dem iPhone-Bezahldienst nutzten seit längerem Betrüger verschiedene Methoden, um mit den geklauten Kreditkarten auf Einkaufstour zu gehen. Problematisch hierbei ist es, das man in den USA auch größere Transaktionen per Apple Pay durchführen kann und dabei oft nur eine Unterschrift erforderlich ist.

Bereits im letzten Jahr habe Apple Maßnahmen eingeleitet, um den iPhone-Bezahldienst sicherer zu machen, allerdings muss hier wohl noch nachjustiert werden.