Eigentlich muss man ein iPhone entsperren, um eine kontaktlose Zahlung über Apple Pay zu autorisieren. Doch die Funktion „Express Transit“ ermöglicht die autorisierungslose Freigabe, um etwa Fahrkartenschalter zu passieren, ohne das iPhone herauskramen zu müssen. Wissenschaftler der Universitäten Birmingham und Surrey gelang nun, mittels eines manipulierten Lesegeräts Gelder abzuzwacken und zugleich das Limit für solche Transaktionen zu umgehen. Daher sei die Summe, bis zu der man eine verknüpfte Visa-Karte leeren könne, auch nicht begrenzt. Die Spezialisten geben an, die Schwachstelle bereits im Oktober 2020 gegenüber Apple und im Mai 2021 gegenüber Visa offengelegt zu haben. Die Unternehmen seien aufgrund von gegenseitigen Schuldzuweisungen nicht in der Lage gewesen, dem Problem Herr zu werden. Sie veröffentlichten ihre Forschungsergebnisse (Download) nun auf der Sicherheitstagung IEEE 2021 Survey.

Die Lücke entsteht, wenn Visa-Karten im Express-Transit-Modus der Apple-Pay-Wallet eingerichtet sind. Der eindeutige Code, den Schranken und Drehkreuze senden, damit der schnelle Transit funktioniert, bildete das Einfallstor für die Wissenschaftler. Sie emulierten ein Lesegerät über eine Software auf einem NFC-fähigen Android-Smartphone an einem Zahlungsterminal. Weitere Zutaten: ein gesperrtes iPhone samt Visa-Karte im Transitmodus.

Die Methode funktioniert so: Das Zahlungsterminal verschickt regulär einen Qualifier zur Autorisierung, der von dem Lesegerät aufgenommen und verändert wird. Das modifizierte Handy sendet den neuen Qualifier an das iPhone und umgeht damit erst das Entsperren und zieht dann das Geld. Dieser Qualifier kann auch so programmiert werden, dass er das Ziel-iPhone samt Karte anweist, das Transaktionslimit zu ignorieren. Sowohl über Samsung Pay als auch über Mastercard gelang der Trick nicht, sagte die Co-Autorin Iaona Boureanu der BBC.

Diese Angriffstechnik sei in der echten Welt kaum in größerem Umfang realisierbar, schreibt ZDNet. Die Autorisierungsprotokolle stellten nur eine Ebene des Zahlungsschutzes dar. Visa betont das ebenfalls in einer Stellungnahme: „Variationen kontaktloser Betrugsmethoden werden seit mehr als einem Jahrzehnt im Labor erforscht und haben sich als unpraktisch erwiesen, um sie in großem Umfang in der realen Welt durchzuführen.“ Die Forscher wundern sich dennoch, dass weder Visa noch Apple bereit waren, die Verantwortung zu übernehmen und eine Lösung zu implementieren. Apple erklärte, das Problem liege im Visa-System, aber das Kreditkartenunternehmen glaube nicht an eine echte Bedrohung. „Für den unwahrscheinlichen Fall, dass es doch zu einer nicht autorisierten Zahlung kommt, hat Visa klargestellt, dass seine Karteninhaber durch die Null-Haftungspolitik von Visa geschützt sind“, schreibt Apple weiter. Die Gesamtbetrugsrate im weltweiten Visa-Netzwerk liegt unter 0,1 Prozent. Von der BBC befragte Spezialisten sehen nur eine Gefahr, wenn das iPhone in unbefugtem Zugriff – sprich geklaut – ist.