Schwachstelle ermöglicht es, 10.000 Dollar von gesperrtem iPhone zu stehlen

Der berühmte Tech-YouTuber MKBHD hält nur kurz sein Handy über ein unscheinbares schwarzes Gerät. Wenige Sekunden später werden über kontaktloses Bezahlen 10.000 Dollar von Apple Pay abgebucht - ohne dass er sein Handy entsperrte oder etwas bestätigte. 

In einem neuen Video des YouTube-Channels Veritasium wird eine iPhone-Sicherheitslücke sichtbar gemacht, die bereits 2021 erstmals bemängelt wurde (futurezone berichtete). Damals machten Sicherheitsexperten der Universitäten Surrey und Birmingham darauf aufmerksam. Apple und Visa haben sie bisher nicht behoben.

➤ Mehr lesen: Hacker können Geld von gesperrtem iPhone stehlen

Der Kern des Problems liegt im "Expressmodus" für Zahlungskarten, bzw. ÖPNV-Karten. Der Modus ist dafür gedacht, schnell im öffentlichen Nahverkehr ein Ticket zu kaufen, indem man das Handy einfach über die Bezahlfläche hält und den Kauf nicht extra mit FaceID oder einer anderen Methode bestätigen muss. Damit sollen kleine Geldbeträge von ein paar Euro unkompliziert überwiesen werden können. 

Problem mit Visa-Karten

Das Problem ist aber, dass dieses System sich nicht mit dem Visa-System verträgt. Hinterlegt man dort eine Visa-Karte, lässt sich mithilfe eines einfachen Funkgeräts und einem Code, den die Forscher "Magic Bytes" nannten, so viel abheben, wie man möchte. "Die einzige Grenze ist der verfügbare Betrag auf dem Bankkonto", sagt Tom Cothia von der University of Birmingham im Veritasium-Video. Mit einer Karte von anderen Anbietern wie Mastercard kann die Sicherheitslücke nicht ausgenutzt werden.

➤ Mehr lesen: Kontaktlos Zahlen: Warum man künftig mit dem Handy wedeln soll

Für den Hack wird das iPhone des Opfers zuerst auf das NFC-Lesegerät namens Proxmark gelegt, das es online für 40 bis 60 Euro gibt. Das Smartphone erkennt das als ÖPNV-Kartenlesegerät und sendet die Transaktionsdaten, die dann auf dem Laptop der Hacker landen. Dort wird ein Python-Script geladen, das diese Daten verarbeitet. 

2. Smartphone imitiert iPhone des Opfers

Der Code wird dann auf ein 2. Smartphone geschickt. Dieses imitiert das iPhone des Opfers und kann nun zum Bezahlen auf ein echtes Kartenlesegerät gelegt werden. Passiert das, kommuniziert das Kartenlesegerät statt mit dem 2. Smartphone mit dem iPhone des Opfers und startet die Transaktion. Die Überweisung wird durchgeführt und taucht als Benachrichtigung auf dem Handy auf. 

In einem realistischen Szenario könnten Betrüger mit dem NFC-Lesegerät an Opfern vorbeigehen und es in die Nähe deren iPhone halten, z.B. wenn sie es in der Hosentasche haben, erklärt Sicherheitsforscherin Ioana Boureanu. Anschließend kann mit dem modifizierten 2. Smartphone in einem Geschäft eingekauft werden. Alternativ könnte man das auch mit gestohlenen iPhones machen.

Visa schützt Kunden, ohne Lücke zu beheben

Obwohl die Sicherheitslücke bereits 2021 Schlagzeilen machte, haben weder Apple noch Visa bisher mit Maßnahmen reagiert. Die einfachste Methode, sich zu schützen, ist den Expressmodus gar nicht zu aktivieren bzw. nicht mit einer Visa-Karte zu nutzen - auch wenn das für Visa-Nutzer sicher keine befriedigende Lösung ist. 

Apple hat Veritasium mitgeteilt, dass man Sicherheitslücken sehr ernst nehme, allerdings sei der Hack kein realistisches Szenario, das in der echten Welt stattfinden würde: "Im unwahrscheinlichen Fall, dass eine solche nicht autorisierte Zahlung trotzdem stattfindet, hat Visa sichergestellt, dass Kunden durch ihre Zero Liability Policy geschützt sind." 

Visa selbst hat das bereits 2021 ebenfalls bestätigt. In einem Interview mit einem Visa-Sprecher wurde das nochmals bestätigt. Auf die Frage, warum Visa keine präventiven Maßnahmen ergreife, erklärte er, dass dieser Hack kaum vorkomme, sonst würde man deutlich mehr Statistiken dazu haben. "Man wird niemals in der Lage sein, jede spezifische Art von Betrug zu verhindern. Wir haben aber die richtigen Sicherheitsvorkehrungen getroffen, um Betrug zu erkennen und dafür zu sorgen, dass das kein flächendeckendes Problem wird."