Kontaktloses Bezahlen ist eine der besten Erfindungen für das Smartphone oder die Smartwatch. Denn: Geldbörse und Karte können in der Tasche bleiben. Einfach nur das digitale Portemonnaie entsperren, das Handy an den Kartenleser halten und mit Apple Pay zahlen. Das System und die damit steigende Bequemlichkeit haben jedoch auch ihre Tücken, wie ein Video der Wissenschafts-YouTuber Veritasium zeigt. Im aktuellen Fall betrifft es iPhone-Nutzer, die eine Visa-Karte für ein Feature aktiviert haben.
YouTuber ergattern 10.000 US-Dollar trotz gesperrtem iPhone
Am Beispiel des Tech-YouTubers Marques Brownlee demonstriert Veritasium ein Problem mit dem aktuellen Zahlungssystem. Konkret betrifft es das Zusammenspiel des sogenannten Expressmodus, der auf dem iPhone und der Apple Watch vorhanden ist, und Visa-Kreditkarten. Der Expressmodus erlaubt dir in einigen Städten, wie zum Beispiel New York oder London, ohne vorheriges Entsperren für Fahrten im ÖPNV zu bezahlen.
Das Feature wird laut Apple standardmäßig aktiviert, wenn „du eine geeignete ÖPNV-Karte oder eine andere kompatible Karte, ein Ticket oder einen Schlüssel zu Apple Wallet hinzufügst“. Es kann also sehr gut sein, dass die Funktion auf deinem iPhone bereits aktiv ist, ohne dass du es bemerkt hast. Ist das der Fall, ist ein kontaktloses Bezahlen in unterstützten Bahnen oder Bussen noch bequemer. Ohne die Leute hinter dir aufzuhalten, kannst du direkt ohne ein Entsperren des Smartphones an geeigneten Terminals dein virtuelles Ticket ziehen. Doch genau diese Bequemlichkeit sorgt für das im Video gezeigte Problem. Der Aufwand ist jedoch enorm, weshalb das bereits seit 2021 bekannte Problem heute noch existiert.
So funktioniert es
In dem Video legt Brownlee sein gesperrtes iPhone auf ein spezielles Lesegerät. Letzteres ist wiederum mit einem Notebook verbunden. Auf einem herkömmlichen Zahlungsterminal, wie du es in vielen Läden bereits gesehen hast, gibt der Veritasium-Host nun einen Betrag von 10.000 US-Dollar ein. Er benutzt danach ein zweites, ebenfalls speziell vorbereitetes Android-Smartphone, um an diesem Terminal kontaktlos zu bezahlen.
Auf dem Terminal und dem iPhone von Brownlee ist wenig später die bekannte Erfolgsbestätigung zu sehen. Nochmal zur Erinnerung: Das Apple-Handy wurde nicht entsperrt und lag lediglich auf dem Kartenleser. Brownlees Kreditkarte wurde jedoch trotzdem erfolgreich mit 10.000 US-Dollar belastet.
Bekanntes Visa-Problem aus 2021
Entdeckt wurde das Problem im Jahr 2021 von einem Forscherteam der Hochschulen Surrey und Birmingham. Es handelt sich im Kern um ein Problem mit den Kreditkarten von Visa. Das Unternehmen sieht keine große Problematik an der gezeigten Lücke, weshalb sich auch bislang nichts daran getan hat. Ein Sprecher des Unternehmens sagte im Veritasium-Video, dass die Ausnutzung des Problems in der Realität sehr schwierig sei. Das Risiko sei gering. Sollte ein Kunde dennoch betroffen sein, greift der Zahlungsschutz. Mit anderen Worten: Du kannst die Buchung widerrufen. Apple verweist in einer schriftlichen Antwort auf Visa.
Die komplexe Methode setzt voraus, dass der oben erwähnte Expressmodus auf dem iPhone aktiviert ist. Gleichzeitig muss für derartige Zahlungen eine Visa-Karte hinterlegt sein. Mastercard oder auch American Express sind nicht betroffen.
Veritasium demonstriert in dem Video eine sogenannte Man-in-the-Middle-Attacke. Der präparierte Kartenleser, auf dem das gesperrte iPhone gelegt wird, gibt sich dabei als ÖPNV-Terminal aus. Das Handy erfordert also keine Freigabe für die Zahlungen. Auf dem verbundenen Notebook läuft ein Programm, das die gesamte Kommunikation zwischen iPhone und dem legitimen Terminal so anpasst, dass alle Zahlungen ohne ein Entsperren durchgewunken werden.
Diese Anpassungen beinhalten auch den Schutz, der eigentlich vor der Abbuchung hoher Beträge schützen soll. Das iPhone prüft hier nicht den eigentlichen Betrag. Es prüft lediglich einen Hinweis innerhalb der Kommunikation, der zwischen einem niedrigen und hohen Betrag unterscheidet. Nach der Manipulation durch die Anwendung denkt iOS, dass die am legitimen Terminal eingegebenen 10.000 US-Dollar ein Kleinbetrag sind.
Es ist unbekannt, ob dieses Problem in der Realität von Betrügern ausgenutzt wurde. Betroffen sind nur iPhones unter den genannten Bedingungen. Samsung-Geräte mit Visa-Karte sind nicht anfällig. Diese Smartphones prüfen unter anderem den genauen Betrag. Eine detailliertere Beschreibung des Problems und die Unterhaltung mit dem Visa-Sprecher findest du im Video von Veritasium.
So schützt du dich und dein iPhone
Du kannst dich relativ einfach gegen diesen Angriff schützen, egal wie gering dessen Wahrscheinlichkeit ist. Wenn du den Expressmodus nicht benutzt, kannst du ihn im iPhone schlichtweg deaktivieren. Alternativ kannst du zum Beispiel eine Mastercard hinterlegen. Du findest die Option in iOS unter Einstellungen > Wallet & Apple Pay > Express-ÖPNV-Karte.