Nach Angabe eines Sicherheitsforschers sind anderthalb Jahre nach der Einführung von Apple Pay in den USA die Sicherheitsmaßnahmen von Apple sowie den teilnehmenden Banken immer noch unzureichend. Kreditkarten dem eigenen Apple-Pay-Account hinzufügen sei problemlos möglich gewesen. berichtete der für die Sicherheitsfirma Pindrop tätige David Dewey, wie Forbes berichtet.

Vier Karten unterschiedlicher Banken hat er ausprobiert. Um die fremde Karte ungehindert seinem Account zuweisen zu können habe er in einem Fall nur die Kreditkartennummer, die Kartenprüfnummer und das Gültigkeitsdatum gebraucht. Bei einer anderen Karte habe das anpassen des Namens an den Namen des Apple-Pay-Account ausgereicht.

Auch der Anruf zur Kontrolle bei einer weiteren Bank ließ sich leicht überwinden, so Dewey, die Google-Suche enthielt alle für die Sicherheitsfragen nötigen Informationen.

Mit Android Pay und Samsung Pay sei es im Gegensatz zu Apple Pay nicht möglich, fehlende Informationen zu einer Kreditkarte einfach ungehindert durchzuprobieren. Dewey sieht da bei Apple ein Versäumnis. Mit einem Tool konnte der Sicherheitsforscher solange Kartenprüfnummern eingeben, bis die Nummer zu der jeweiligen Karte gefunden ist.

Bei geklauten Kreditkarten fehlt der "Card Validation Code" häufig völlig. Die richtige Kombination lässt sich aber auch in kurzer Zeit ermitteln, da der Code meistens dreistellig ist. Samsung und Google unterbinden derartige Brute-Force-Angriffe bereits in ihren jeweiligen Apps.

Um mit geklauten Kreditkartendaten leicht auf Einkaufstour zu gehen, benutzen Betrüger den iPhone-Bezahldienst offenbar schon seit längerem. Auch größere Transaktionen lassen sich mit Apple Pay in den USA durchführen, erforderlich ist unter Umständen höchstens eine Unterschrift. Vor knapp einem Jahr betonten die US-Banken und Apple, dass derartige Betrugsfälle ein seltenes Phänomen seien.

Zur Verifizierung der Karte für Apple Pay können Banken verschiedene Methoden einsetzen und dem Nutzer beispielsweise einen Code an Telefonnummer oder E-Mail-Adresse zu senden, die dann in Wallett der iOS-App hinterlegt werden muss – Die Wallet App verwaltet alle eingetragenen Kreditkarten für Apple Pay.

Nach Angabe des iPhone-Herstellers übermittelt Apple Pay beim Hinzufügen verschiedene Nutzerdaten an die Bank: Darunter den Gerätetyp, die Mobiltelefonnummer, den Aufenthaltsort und die Informationen über die Account-Aktivität bei iTunes und im App Store sowie wenn der Nutzer die Ortungsdienste generell aktiviert hat.

Neben den USA ist Apple Pay derzeit in wenigen Ländern verfügbar. Mit Spanien soll im laufenden Jahr ein erstes kontinentaleuropäisches Land folgen, Berichten zufolge wird auch der Start in Frankreich vorbereitet.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE