Apple und VISA im Zuständigkeits-Gerangel
Apple Pay: Geld-Abbuchungen von gesperrtem iPhone möglich
Um die bequeme Nutzung von Bezahlschranken im öffentlichen Personennahverkehr möglich zu machen, hat Apple der hauseigenen Bezahlfunktion Apple Pay den optionalen Express-ÖPNV-Modus spendiert.
In unterstützten Regionen lässt sich das iPhone hier in eine Bezahlkarte für den öffentlichen Personennahverkehr verwandeln und während der morgendlichen Pendler-Fahrt dann auch im gesperrten Zustand dafür nutzen, sich schnell durch das Gedränge im U-Bahnhof zu schieben.
Der Express-ÖPNV-Modus wird dabei etwa von den Suica-kompatiblen Zügen in Japan, von den U-Bahn-Linien in New York City und Portland, mehreren ÖPNV-Dienstleistern in Peking und Schanghai, sowie im Londoner Personennahverkehr akzeptiert.
Express-ÖPNV-Modus lässt sich täuschen
Forscher in Großbritannien haben nun festgestellt, dass sich der Express-ÖPNV-Modus des iPhones austricksen lässt und die heimliche Abbuchung von Zahlungen möglich macht. Für diese muss das iPhone nicht mal entsperrt sein.
Dies haben Sicherheitsforscher der britischen University of Birmingham herausgefunden und geben an, dass man von iPhone-Modellen mit aktiviertem Express-ÖPNV-Modus beliebig viele Abbuchungen vornehmen kann.
Glücklicherweise ist dies aktuell nur mit einem vergleichsweise komplizierten Testaufbau möglich. Dabei wird ein modifiziertes Lesegerät in die Nähe eines gesperrten iPhones gebracht und gaukelt diesem vor, an eine Bezahlschranke gehalten zu werden. Mit einem zusätzlichen Android-Handy wird nun eine kontaktlose Bezahlung initiiert, die an das Lesegerät durchgereicht und so letztlich vom iPhone beglichen wird.
Video-Demo: £1000-Abbuchung im Sperrzustand
Apple und VISA im Zuständigkeits-Gerangel
Nach Angaben der Forscher sind die Geld-Abbuchungen derzeit nur von VISA-Karten möglich und könnten von Apple oder VISA problemlos unterbinden werden. Beide Unternehmen wurden bereits vorm Monaten über die Schwachstelle informiert, konnten sich bislang aber nicht nicht einigen, wer für die Fehlerbehebung zuständig ist.
Hab Visa und Apple Pay. Bis jetzt läuft alles gut. Kein Verlust oder sonstiges zu berichten :-)
Sag uns Bescheid, wenn’s soweit ist- Danke!
Bitte
Ich hätte nie gedacht, dass nicht alle Apple-Pay Kunden betrogen wurden *ironie off*
Welche Farbe hat dein iPhone?
Wie lange hält der Akku?
Kann die Red. solche Fragen bitte gleich löschen oder erstmal zur „Prüfung“ senden?
Diese Fragen NERVEN!
Was man nicht hat, kann man auch nicht verlieren. ;)
Bezeichnend, dass solche Deppen-Kommentare hier nicht entfernt werden.
Deppen…
Also du meinst nervige Kommentare von anderen, berechtigen Dich beleidigend zu werden?
Das ist unterstes Niveau.
Der, der es am schnellsten fixt, macht es und die beiden Parteien teilen sich die Kosten; fertig.
Verlange auch keine Beraterkosten.
Verstehe nicht. Bei Anwendung deines Vorschlags sind die (doppelten) Kosten doch bereits geteilt, egal wer schneller ist…
Er ist Berater ;)
Ich kann es noch schneller fixen! da Express-ÖPVN in Deutschland eh noch nicht angeboten wird, einfach in die Walket gehen, VISA Karte auswählen und unter Express-ÖPVN auf „Keine“ setzen! Dieser Tipp war kostenlos!
Das ist ein kluger Vorschlag, der hier leider nichts zur Sache tut, weil er Apple und Visa nicht hilft.
aber trotzdem habe ich erstmal den Express-ÖPNV Modus abgeschaltet
„Apple und VISA im Zuständigkeits-Gerangel“ wenn ich sowas schon lese…
Einfach zusammen arbeiten und gut ist.
Hier liegt doch der Fehler eindeutig bei Visa, denn bei Mastercard und Amex funktioniert das nicht.
Eingestandene Fehler haben auch immer automatisch was mit Haftung zu tun. Umso mehr, wenn dieser schon seit Monaten bekannt ist.
Eindeutig Apples Baustelle. Der Modus ist mangels Entsperrung per Definition unsicher. Ist genau das Gleiche wie mit den physischen Karten. Dort ist die Lösung eine Höchstgrenze 25€/50€ oder so, für solche Zahlungen ohne Pin. Könnte Apple hier auch einführen.
Oooder man bringt einfach TouchID (zusätzlich) zurück, weil FaceID mit Masken halt nicht funktioniert. Dann wäre es auch kein Umstand auch solche Vorgänge zu authentifizieren.
„Per Definition“ heißt also, dass es bei Mastercard und Amex nicht funktioniert?
Heise hatte das Thema ebenfalls aufgegriffen. Dort war die Rede davon, dass nur Visa betroffen sei. Angeblich würde MasterCard einen entsprechenden Angriff abwehren.
Dazu kommt noch, wie WillyW schon andeutete, dass Visa für die Zahlung im Express-ÖPNV-Modus eine absurde Höchstgrenze von 1000€ zulässt – so dass sich ein entsprechender Angriff lohnen könnte.
Gruß
Ja genau. Steht im verlinkten Paper: „It does not, for instance, affect Mastercard on Apple Pay or Visa on Samsung Pay.“
Klar funktioniert Face ID mit Maske. Entweder du hast ne Apple watch, oder Scannst ein zweites Gesicht mit Maske ein. Bisher konnte sich niemand anders mit Maske damit mein iPhone entsperren im versuch ;)
Das Entsperren mit Maske und Apple Watch funktioniert nur für das Gerät an sich – nicht bei Apple Pay oder zum Login in eine App.
Mich würde mal interessieren, wie es gelingt, ein Gesicht mit Maske ins FaceID zu bekommen?!
Face ID lässt das Scannen mit Maske (bei mir häufig versucht) nicht zu. Da fehlen wohl zu viele Informationen. Wäre aber dankbar für einen Weg (ohne Watch) das Phone mit Maske zu entsperren. Danke
PIN. Gern geschehen. ;-)
Na ja. iPhone 13 lässt sich zurzeit nicht mit Watch entsperren. (Zumindest mein IPhone)
https://support.apple.com/de-de/HT212828
Das soll tatsächlich gehen, also
1. Vorgang:
Scanne ein neues Gesicht, indem die Maske am rechten Ohr hängt und mit einem Lineal (stabilisierend quasi) hälst du nur die Hälfte über das Gesicht bis zur Nasenspitze.
2. Vorgang mit Einhängen der Maske von links nochmal.
Ich selbst habe zwar immer noch Touch-ID, habe aber mal ein Workaround Video gesehen, wo das jemand erfolgreich umgesetzt hat.
Wer zahlt mit seinem iPhone, wenn er eine AppleWatch trägt? Das macht keinen Sinn. Erst recht nicht mit Maske, da die Watch einfach direkt ohne zusätzliche Authentifizierung bereit ist.
Ich wage zu behaupten dass bei Apple die ÖPNV-Geldkarten Funktion, ebenfalls einmal kleine Beträge abheben lässt. Bei dem Angriff werden allerdings viele Abhebevorgänge hintereinander geschaltet, da es also im echten urbanen Leben also keine Metro-Hopper gibt, die innerhalb von wenigen Sekunden ein Ticket erwerben bzw. nicht 600 mal durch eine Schranke beziehungsweise Drehkreuz huschen, sollte das alleine schon als Angriff gedeutet werden ins erkannt werden können.
Es gibt im Grunde kein Gerangel. Apple hat eine Stellungnahme veröffentlicht und sieht VISAs System als Problem. Es gibt keine mit Master oder Amex. VISA sagt sie sehen das nicht wirklich als Problem an und machen nichts.
Zusätzlich Touch ID, hörst du doch reden?
Was sollen jetzt alle Leute mit aktuellen Geräten dann auf ein neues noch nicht verfügbares Telefon warten und dann umsteigen?
Hier würde es schon reichen einfach die bezahlfunktion im speerzustand zu deaktivieren, und eine aktive Bezahlung per doppelten Tipp auf den Power Button und entsperrten Handy zu starten völlig ausreichen.
Ein großer Komfortverlust für etwas was Amex und Master hinbekommen
Das Visa-System funktioniert auch mit Samsung, also muss wohl auch Apple mal schauen, was mit ihrem Securitysystem falsch läuft.
@Alex ein großer Komfortverlust also?
Wenn man mir zuhause das Bett wegnimmt und ich auf dem Boden pennen muss…das ist ein großer Komfortverlust!
Offensichtlich sollten beide Seiten ihr loch stopfen, damit die Kunden einen doppelten Boden haben.
Da Visa dieses Problem nicht auf Samsung-Handies hat, ist es wohl ein Apple problem.
Da Apple dies problem nur bei Visa hat ist es EBENFALLS ein Visa problem.
Dank Apple werden wir zum Selbstbedienungsladen jedes neue IOS ist schlimmer als das letzte hat man ein Problem ruft man die Hotline an, erste Frage was für ein IOS haben sie, das ist nicht das neuste das müssen sie erst auf den neusten Stand bringen dann ausprobieren wenn der Fehler nicht weg ist rufen sie wieder an
Das ist auch bei Drittanbietern der Fall und bei MAC Rechner
Das hat nichts mit dem IOS zu tun, sondern mit Apple Pay. Und mit VISA.
Express-ÖPNV ist sich nicht für Kreditkaeten gedacht, sondern für Bus und Bahn tickets…wer da eine Kreditkarte hinterlegt muss sich meiner Meinung nach auch nicht wundern. Da kann ich das iPhone auch einfach klauen und direkt damit durch die Gegend laufen und Sachen kaufen.
Was für ein Blödsinn. Beschäftige dich doch bitte mit der Thematik bevor du so einen Unsinn postest. Danke.
In Deutschland ist Express-Transit doch standardmäßig deaktiviert.
Wieder mal Click bait von euch ifun.de Team. Das vida genau für diesen Fall eine Versicherung hat erwähnt ihr wieder nicht. Damit kommt kein schade zu Stande und Geld bekommen die Verbrecher auch nicht.
Bitte weniger reißerisch die Artikel und Titel
Ist ja noch bekloppter als das Lesegerät, das einem angeblich heimlich ans Portmonee gehalten wird.
Solch ein Terminal ist zwangsläufig mit einem Bankkonto verbunden und dort laufen Sicherheitsmechanismen um Betrug zu erkennen. Zudem lässt sich so verlorenes Geld immer durch CashBack zurückholen.
Für Empörungs-Medien ein gefundenes fressen. Die Headlines „iPhone unsicher, Betrüger können einfach so einkaufen“ werden kommen!