ÖPNV-Expressmodus-Funktion beim iPhone: YouTuber zeigen potenziellen Angriff

iPhone und Apple Watch verfügen im Rahmen von Apple Pay über eine Funktion, die die Nutzung von Nahverkehrssystemen in aller Welt erleichtern soll. Mit dem sogenannten Expressmodus muss man sein Gerät nur noch an das Lesegerät an der Zugangssperre halten und löst dann automatisch sein Ticket über eine hinterlegte Kreditkarte. Das geht etwa in der New Yorker U-Bahn oder in London. Ein Entsperren des Apple-Geräts per Fingerabdruck, Gesichtserkennung oder PIN ist nicht notwendig, sofern man den Expressmodus aktiviert hat.

Doch wie sicher ist das? Wäre es möglich, so auf fremde Kosten mit der bei Apple Pay hinterlegten Kreditkarte einzukaufen? Ein Video des bekannten Wissenschaftskanals Veritasium hat das nun näher untersucht. Das Ergebnis: Mit (ziemlich viel) Mühe und spezieller Hardware sowie Karten eines bestimmten Kreditkartenausgebers konnte dem bekannten YouTuber MKBHD bei einem Testlauf eine größere Geldsumme entwendet werden.

Problem seit 2021 bekannt

Gänzlich neu ist der Ansatz nicht, bereits 2021 konnten Sicherheitsforscher der Hochschulen Surrey und Birmingham das Vorgehen demonstrieren. Allerdings scheint sich seither wenig getan zu haben. Der Grund: Visa, der Kartenausgeber, der davon betroffen ist, meint, es sei unwahrscheinlich, dass es in der Praxis zu dem Angriff kommt. Zudem, sagte Apple gegenüber Veritasium, habe Visa mitgeteilt, dass der übliche Zahlungsschutz greift. Betroffene können die Kreditkartenbuchung also widerrufen, selbst wenn das mit viel Ärger verbunden sein dürfte.

Der Angriff selbst ist eine Man-in-the-Middle-Attacke: Das iPhone wird auf ein manipuliertes NFC-Lesegerät gelegt, das sich als legitimes ÖPNV-Terminal ausgibt. Es zieht Zahlungsdaten vom iPhone drahtlos ab, die dann wiederum an ein Notebook weitergereicht werden, auf dem sie mittels Python-Skript manipuliert werden. Die Informationen werden anschließend auf ein Burner-Gerät – offenbar ein Android-Telefon, das gerootet wurde – weitergeleitet. Letzteres führt dann die Transaktion auch tatsächlich aus, wenn es auf einen Kartenleser gelegt wird – mit den iPhone-Daten. Der manipulierte Leser musste die gleiche Terminal-ID haben wie ein legitimes Tap-to-Pay-Terminal in einer ÖPNV-Station. Die komplexe Methode funktioniert nicht mit MasterCard und American Express, da es hier offenbar weniger leicht ist, legitime Daten an das Android-Gerät weiterzuleiten.

iPhone lässt Summe als Kleinbetrag durch

Interessant: Eines der von den Forschern entdeckten Probleme war, dass iOS in der aktuellen Form offenbar darauf vertraut, dass das NFC-Lesegerät angibt, dass es sich bei der abgefragten Summe um eine geringe handelt. Tatsächlich gegen die Zahl geprüft wird das aber nicht, es wird nur ein Flag gelesen und diesem dann geglaubt. Bei Geräten anderer Hersteller sei das nicht so, sagt Veritasium. Das heißt: Es konnte dem iPhone vorgegaukelt werden, dass es sich um eine Kleinzahlung handelt, die für den Expressmodus üblich sind, während dann tatsächlich 10.000 US-Dollar abgebucht wurden.

Es ist unklar, ob Kriminelle die komplexe Methode tatsächlich einsetzen. Wer auf Nummer sicher gehen will, nutzt den ÖPNV-Expressmodus nicht mit Visa-Karten. Dann sollte die Angriffsform grundsätzlich nicht möglich sein.

(bsc)