iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 545 Artikel

Mobiles Bezahlen

Apple Pay mit Betrugslücke, Google Pay mit Gesichtserkennung

Artikel auf Mastodon teilen.
13 Kommentare 13

Apple Pay mit Betrugslücke

Während deutsche iPhone-Anwender noch immer auf den Start des Apple Pay-Angebotes warten, informiert der Security-Bereich des Finanzmagazins Forbes über eine mögliche Sicherheitslücke in Apples System. Apple selbst wird gegen die von „Pindrop Security“ aufgedeckte Schwachstelle jedoch nur wenig ausrichten können – das Problem, das die Sicherheitsforscher heute beschreiben, ist auf Seite der Banken zu suchen.

apple-pay-500

So gestatten einzelne Finanzinstitute, das Hinzufügen neuer Kreditkarten zur Apple Pay-Börse ohne zusätzliche Sicherheitsnachfragen. Hier, so Pindrop, könnten Kreditkartenfälscher ansetzen, die die Plastik-Karten bislang noch von Hand kopierten.

Sind valide Kreditkarten-Details vorhanden – etwa aus entsprechenden Untergrund-Foren – so könnten Angreifer diese direkt in die Apple Pay-Börse eintragen und anschließend auf Kosten der bestohlenen Kreditkarten-Besitzer einkaufen gehen. Das Fälschen der physikalischen Karte wäre dann nicht mehr nötig.

Grundsätzlich gleicht Apple neue Kreditkarten-Details in Apple Pay-Konten zwar mit den Kreditkarten-Instituten ab, diese fordern aber nicht immer eine zusätzliche Authentifizierung an, sondern begnügen sich stellenweise auch mit den Datensätzen, die sich von der Original-Karte ablesen lassen. Das Fazit der Sicherheitsforscher: Apple Pay ist verlässlich, die Banken müssen hier aber nachbessern.

Google Pay mit Gesichtserkennung

Auch der Suchmaschinen-Riese Google meldet sich in Sachen mobiles Bezahlen zu Wort und startet ein neues Pilotprojekt. Android Pay-Nutzer aus San Francisco sollen ihre Einkäufe zukünftig zahlen können, ohne das eigene Smartphone auch nur in die Hand nehmen zu müssen.

pay

Die Idee: Anstatt das Smartphone auf das Kreditkarten-Lesegerät zu halten, sollen Nutzer des Google Dienstes „Hands Free Payments“ einfach den Satz „Ich werde mit Google zahlen“ aussprechen.

Registriert das Gerät die Aufforderung, kümmert sich eine Bluetooth LE-Verbindung um die Kommunikation mit dem Bezahl-Terminal, eine im Geschäft installierte Kamera gleicht zudem das Gesicht mit einem zuvor gesicherten Profil-Bild ab. Stimmen die Daten überein, gibt Google die Transaktion frei.

At select stores, we’re also in the early stages of experimenting with visual identification so that you can breeze through checkout even faster. This process uses an in-store camera to automatically confirm your identity based on your Hands Free profile picture. All images captured by the Hands Free camera are deleted immediately.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
03. Mrz 2016 um 17:20 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    13 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Apple muss sehr wohl nachbessern. Falls die Prüfziffer angegeben werden muss lässt Apple beliebig viele Versuche zu, was bei einer 3stelligen Zahl ein vertretbarer Aufwand ist. Google und sogar Samsung sind da strikter.

    • Es geht um Artikel doch aber um das fälschen physikalischer Karten. Da ist die Prüfziffer ja ohnehin bekannt…

      Aber es spricht natürlich nichts dagegen die Anzahl der Versuche trotzdem einzuschränken, falls das nicht der Fall ist

      • Die Prüfziffer ist nicht unbedingt bekannt und da liegt, neben der Schwachstelle der Banken,die von Apple.
        Da es nur 1000 Kombinationen gibt für die Prüfziffer und Apple Pay beliebig viele Kombinationen zulässt, hat man dies schnell hinzugefügt. Wie man an nicht physikalische Kreditkarten Daten kommt? NFC in der UBahn

  • In der Überschrift: „Apple Pay mit Betrugslücke“

    Im Text: „Das Fazit der Sicherheitsforscher: Apple Pay ist verlässlich, die Banken müssen hier aber nachbessern.“

    Auch wenn die gewählte Überschrift, wenn man es genau nimmt, nicht falsch ist, so suggeriert sie doch etwas anderes, als der Text liefert. Das nennt man Clickbaiting und das habt ihr eigentlich nicht nötig. Bin vor einem Jahr von heise zu euch gewechselt, weil dort ein gewisser Herr B.Sc. nur noch solche Headlines „verzapft“ hat. Fangt jetzt bitte nicht auch damit an.

  • Verstehe ich das richtig? Jeder der meine Kreditkartendaten kennt, kann diese einfach zur ApplePay Börse hinzufügen und dann zahlen?
    Das wären ja zig Leute, die meine Daten kennen, nämlich alle, bei denen ich schon mit KK bezahlt habe, quer durch Europa bis in die USA.

    • Hallo, das ist so. Eben genau das ist ja der Grund für diese Dienste. Niemandem mehr seine Karte in die Hand drücken zu müssen. Schon seit Anbeginn der Webshops ist dieses Problem das selbe. Jeder der jemals deine Karte in der Hand hatte und Nummer und Prüfziffer abgeschrieben hat kann bei Amazon damit alles einkaufen. Ohne weitere Verifikation.
      Deshalb: Kreditkarte bei Paypal eintragen und damit zahlen und niemals die karte aus der Hand geben. Alle Geschäfte sind verpflichtet (mittlerweile auch in den USA) dir eine Möglichkeit zu bieten deine Karte selbst in das Gerät zu stecken.

  • In diesem Satz versteckt sich die Schwachstelle: „… diese fordern aber nicht immer eine zusätzliche Authentifizierung an …“

    Wird Zeit, dass Mechanismen wie MasterCard Securecode und Verified by VISA flächendeckend verwendet werden. Ansonsten Schuld des Kartenemittenten.

  • Mal sehen ob ich jetzt wieder kommentieren kann #8.1 Update ;-)

  • manchmal frage ich mich, wo leben wir eigentlich.
    ist es so schwierig zumindest für die westlichen länder bei den banken einen server aufzustellen, der, wenn man eine kreditkarte bei apple pay einfügt ein verifizierungstoken generiert, welches dem user, an eine von ihm bei der bank hinterlegten telefonnummer sendet. dieses token geht auch an apple und wird dann einfach abgeglichen.

    ich mein sonst fügt sich der sohn die kreditkarte der eltern ein und geht dann fröhlich iphone shoppen!

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38545 Artikel in den vergangenen 6275 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven