iPhone und Apple Watch verfügen im Rahmen von Apple Pay über eine Funktion, die die Nutzung von Nahverkehrssystemen in aller Welt erleichtern soll. Mit dem sogenannten Expressmodus muss man sein Gerät nur noch an das Lesegerät an der Zugangssperre halten und löst dann automatisch sein Ticket über eine hinterlegte Kreditkarte. Das geht etwa in der New Yorker U-Bahn oder in London. Ein Entsperren des Apple-Geräts per Fingerabdruck, Gesichtserkennung oder PIN ist nicht notwendig, sofern man den Expressmodus aktiviert hat.

Doch wie sicher ist das? Wäre es möglich, so auf fremde Kosten mit der bei Apple Pay hinterlegten Kreditkarte einzukaufen? Ein Video des bekannten Wissenschaftskanals Veritasium hat das nun näher untersucht. Das Ergebnis: Mit (ziemlich viel) Mühe und spezieller Hardware sowie Karten eines bestimmten Kreditkartenausgebers konnte dem bekannten YouTuber MKBHD bei einem Testlauf eine größere Geldsumme entwendet werden.

Problem seit 2021 bekannt

Gänzlich neu ist der Ansatz nicht, bereits 2021 konnten Sicherheitsforscher der Hochschulen Surrey und Birmingham das Vorgehen demonstrieren. Allerdings scheint sich seither wenig getan zu haben. Der Grund: Visa, der Kartenausgeber, der davon betroffen ist, meint, es sei unwahrscheinlich, dass es in der Praxis zu dem Angriff kommt. Zudem, sagte Apple gegenüber Veritasium, habe Visa mitgeteilt, dass der übliche Zahlungsschutz greift. Betroffene können die Kreditkartenbuchung also widerrufen, selbst wenn das mit viel Ärger verbunden sein dürfte.

Der Angriff selbst ist eine Man-in-the-Middle-Attacke: Das iPhone wird auf ein manipuliertes NFC-Lesegerät gelegt, das sich als legitimes ÖPNV-Terminal ausgibt. Es zieht Zahlungsdaten vom iPhone drahtlos ab, die dann wiederum an ein Notebook weitergereicht werden, auf dem sie mittels Python-Skript manipuliert werden. Die Informationen werden anschließend auf ein Burner-Gerät – offenbar ein Android-Telefon, das gerootet wurde – weitergeleitet. Letzteres führt dann die Transaktion auch tatsächlich aus, wenn es auf einen Kartenleser gelegt wird – mit den iPhone-Daten. Der manipulierte Leser musste die gleiche Terminal-ID haben wie ein legitimes Tap-to-Pay-Terminal in einer ÖPNV-Station. Die komplexe Methode funktioniert nicht mit MasterCard und American Express, da es hier offenbar weniger leicht ist, legitime Daten an das Android-Gerät weiterzuleiten.

iPhone lässt Summe als Kleinbetrag durch

Interessant: Eines der von den Forschern entdeckten Probleme war, dass iOS in der aktuellen Form offenbar darauf vertraut, dass das NFC-Lesegerät angibt, dass es sich bei der abgefragten Summe um eine geringe handelt. Tatsächlich gegen die Zahl geprüft wird das aber nicht, es wird nur ein Flag gelesen und diesem dann geglaubt. Bei Geräten anderer Hersteller sei das nicht so, sagt Veritasium. Das heißt: Es konnte dem iPhone vorgegaukelt werden, dass es sich um eine Kleinzahlung handelt, die für den Expressmodus üblich sind, während dann tatsächlich 10.000 US-Dollar abgebucht wurden.

Es ist unklar, ob Kriminelle die komplexe Methode tatsächlich einsetzen. Wer auf Nummer sicher gehen will, nutzt den ÖPNV-Expressmodus nicht mit Visa-Karten. Dann sollte die Angriffsform grundsätzlich nicht möglich sein.

(bsc)

Eine gute Woche nach Veröffentlichung des „BlueHammer“-Exploits hat sein Autor nachgelegt: „RedSun“ verschafft Angreifern auf aktuellen Windows-Systemen Admin-Rechte. Dazu bedient sich der Exploit der „Cloud File API“ und eines mutmaßlichen Fehlers in Windows Defender, überschreibt eine Systemdatei und erhöht somit seine Privilegien.

Der Autor schreibt dazu, dass Windows Defender Dateien, die ein „Cloud-Tag“ tragen, neu schreibe und dazu den ursprünglichen Pfad der Datei verwendet. Sicherheitsforscher Will Dormann führt die knappe Erläuterung des Autors auf Mastodon weiter aus, dass der Exploit eine Datei mittels der „Cloud Files API“ schriebe, danach eine Race Condition bei Schattenkopien gewönne und so im Windows-Systemverzeichnis eine ausführbare Datei plazieren könne. Mittels dieser erhöhe er seine Privilegien zu SYSTEM. Dormann: „Game over.“

Fehler noch ungepatcht

In aktuellen Windows-Versionen ist der Fehler namens „RedSun“ noch nicht gepatcht, wie Dormann herausfand. Er testete den Exploit unter Windows 10 und 11 erfolgreich. Auch die Redaktion von heise security konnte auf einem frisch gepatchten Testsystem bestätigen: Der Exploit funktioniert.

Am 7. April hatte ein anonymer Sicherheitsforscher aus Frust über den Prozess im MSRC (Microsoft Security Response Center) den BlueHammer-Exploit veröffentlicht.

(cku)

Google veröffentlicht einmal pro Monat eine neue Version von Android Canary. Das ist ein hochexperimenteller Android-Build, der sich in erster Linie an Entwickler und Hardcore-Fans richtet und seit Juli 2025 die Developer-Previews ersetzt. In der neuen April-Version steckt oberflächlich lediglich eine größere Veränderung, mit der das Kontextmenü von App-Icons aufgebohrt wird – und eine weitere winzige Änderung. Die Canary-Funktionen finden nicht zwingend ihren Weg in die finalen Versionen.

Mehr Funktionen fürs Kontextmenü

Die neue Canary-Version 2604 mit der Buildnummer ZP11.260320.007 steht zunächst für das Pixel 8 und neuer zum Ausprobieren bereit, ist aber nicht für den Alltagsgebrauch geeignet. Später soll der Canary-Release auch für ältere Modelle wie das Pixel 6 und weitere bereitgestellt werden, schreibt Google. Das experimentelle Betriebssystem zeigt, woran Google arbeitet, beziehungsweise was der Konzern davon zeigen möchte.

Vieles – vor allem KI-Funktionen – enthüllt das Unternehmen erst dann, wenn es weitgehend fertig ist. Bestätigt hat Google, dass Android 17 und künftige Versionen mehr agentische Fähigkeiten bekommen soll. Der Chef des Android-Ökosystems sagte dazu: „Wir bewegen uns weg von einem Betriebssystem hin zu einem intelligenten System, einer Plattform, die Sie wirklich versteht und für Sie arbeitet.“

In der Canary-Version backt Google kleinere Brötchen: Sie enthält ein überarbeitetes Kontextmenü für Apps, das sich durch einen Langdruck auf ein App-Icon öffnen lässt. Das Menü ist zum einen etwa kompakter gestaltet und zum anderen zweigeteilt. Nach dem Öffnen zeigt das Menü zuerst die Schnellzugriffe, ein weiterer Button öffnet eine Übersicht mit Aktionen. Die in der März-Version getestete App-Lock-Funktion, mit der man einzelne Apps mit einer Sperre versehen kann, ist in dieser Version verschwunden.

Eine weitere kleine Änderung ist die Anzeige nach dem Entfernen sämtlicher Benachrichtigungen: Hier heißt es nun „Du bist auf dem aktuellen Stand“ begleitet von einem Pokal statt „Keine Benachrichtigungen“. Die neue Anzeige orientiert sich dabei an Wear OS 6 etwa auf der Pixel Watch, sodass es über das Ökosystem hinweg einheitlicher anmutet.

Elemente von Canary schon in Android 17 Beta

Ob das neue Kontextmenü Teil von Android 17 wird, ist zwar noch offen. Allerdings flossen einige Features, die Google erst im März im Canary-Channel getestet hatte, kurz danach in die Betaversion des großen Updates ein. Dazu gehören etwa App-Bubbles, um Android eine neue Multitasking-Option zu verpassen. Außerdem sind seit der Beta 3 von Android 17 WLAN- und Mobilfunkempfang wieder getrennt. Google hatte im Jahr 2021 mit Android 12 eine einzige „Internet“-Kachel für beide Konnektivitäts-Optionen in die Schnelleinstellungen integriert, sodass es umständlicher war, eine der beiden Funktionen abzuschalten.

Wer sich die Canary-Version auf einem Gerät installiert, sollte sich im Klaren darüber sein, dass es nicht sonderlich einfach ist, zur stabilen Version zurückzukehren. Um keine Canary-OTA-Updates mehr zu erhalten, muss man einen Nicht-Canary-Build flashen, was eine vollständige Löschung aller Daten nach sich zieht. Hierfür bietet Google sein Android-Flash-Tool an.

(afl)