Mobiles Bezahlen
Apple Pay mit Betrugslücke, Google Pay mit Gesichtserkennung
Apple Pay mit Betrugslücke
Während deutsche iPhone-Anwender noch immer auf den Start des Apple Pay-Angebotes warten, informiert der Security-Bereich des Finanzmagazins Forbes über eine mögliche Sicherheitslücke in Apples System. Apple selbst wird gegen die von „Pindrop Security“ aufgedeckte Schwachstelle jedoch nur wenig ausrichten können – das Problem, das die Sicherheitsforscher heute beschreiben, ist auf Seite der Banken zu suchen.
So gestatten einzelne Finanzinstitute, das Hinzufügen neuer Kreditkarten zur Apple Pay-Börse ohne zusätzliche Sicherheitsnachfragen. Hier, so Pindrop, könnten Kreditkartenfälscher ansetzen, die die Plastik-Karten bislang noch von Hand kopierten.
Sind valide Kreditkarten-Details vorhanden – etwa aus entsprechenden Untergrund-Foren – so könnten Angreifer diese direkt in die Apple Pay-Börse eintragen und anschließend auf Kosten der bestohlenen Kreditkarten-Besitzer einkaufen gehen. Das Fälschen der physikalischen Karte wäre dann nicht mehr nötig.
Grundsätzlich gleicht Apple neue Kreditkarten-Details in Apple Pay-Konten zwar mit den Kreditkarten-Instituten ab, diese fordern aber nicht immer eine zusätzliche Authentifizierung an, sondern begnügen sich stellenweise auch mit den Datensätzen, die sich von der Original-Karte ablesen lassen. Das Fazit der Sicherheitsforscher: Apple Pay ist verlässlich, die Banken müssen hier aber nachbessern.
Google Pay mit Gesichtserkennung
Auch der Suchmaschinen-Riese Google meldet sich in Sachen mobiles Bezahlen zu Wort und startet ein neues Pilotprojekt. Android Pay-Nutzer aus San Francisco sollen ihre Einkäufe zukünftig zahlen können, ohne das eigene Smartphone auch nur in die Hand nehmen zu müssen.
Die Idee: Anstatt das Smartphone auf das Kreditkarten-Lesegerät zu halten, sollen Nutzer des Google Dienstes „Hands Free Payments“ einfach den Satz „Ich werde mit Google zahlen“ aussprechen.
Registriert das Gerät die Aufforderung, kümmert sich eine Bluetooth LE-Verbindung um die Kommunikation mit dem Bezahl-Terminal, eine im Geschäft installierte Kamera gleicht zudem das Gesicht mit einem zuvor gesicherten Profil-Bild ab. Stimmen die Daten überein, gibt Google die Transaktion frei.
At select stores, we’re also in the early stages of experimenting with visual identification so that you can breeze through checkout even faster. This process uses an in-store camera to automatically confirm your identity based on your Hands Free profile picture. All images captured by the Hands Free camera are deleted immediately.
Apple muss sehr wohl nachbessern. Falls die Prüfziffer angegeben werden muss lässt Apple beliebig viele Versuche zu, was bei einer 3stelligen Zahl ein vertretbarer Aufwand ist. Google und sogar Samsung sind da strikter.
Es geht um Artikel doch aber um das fälschen physikalischer Karten. Da ist die Prüfziffer ja ohnehin bekannt…
Aber es spricht natürlich nichts dagegen die Anzahl der Versuche trotzdem einzuschränken, falls das nicht der Fall ist
Die Prüfziffer ist nicht unbedingt bekannt und da liegt, neben der Schwachstelle der Banken,die von Apple.
Da es nur 1000 Kombinationen gibt für die Prüfziffer und Apple Pay beliebig viele Kombinationen zulässt, hat man dies schnell hinzugefügt. Wie man an nicht physikalische Kreditkarten Daten kommt? NFC in der UBahn
In der Überschrift: „Apple Pay mit Betrugslücke“
Im Text: „Das Fazit der Sicherheitsforscher: Apple Pay ist verlässlich, die Banken müssen hier aber nachbessern.“
Auch wenn die gewählte Überschrift, wenn man es genau nimmt, nicht falsch ist, so suggeriert sie doch etwas anderes, als der Text liefert. Das nennt man Clickbaiting und das habt ihr eigentlich nicht nötig. Bin vor einem Jahr von heise zu euch gewechselt, weil dort ein gewisser Herr B.Sc. nur noch solche Headlines „verzapft“ hat. Fangt jetzt bitte nicht auch damit an.
Laut einem Kommentar im Forum soll dies ein typischer Fall bei Webshops sein. Hm, doof …
Verstehe ich das richtig? Jeder der meine Kreditkartendaten kennt, kann diese einfach zur ApplePay Börse hinzufügen und dann zahlen?
Das wären ja zig Leute, die meine Daten kennen, nämlich alle, bei denen ich schon mit KK bezahlt habe, quer durch Europa bis in die USA.
Hallo, das ist so. Eben genau das ist ja der Grund für diese Dienste. Niemandem mehr seine Karte in die Hand drücken zu müssen. Schon seit Anbeginn der Webshops ist dieses Problem das selbe. Jeder der jemals deine Karte in der Hand hatte und Nummer und Prüfziffer abgeschrieben hat kann bei Amazon damit alles einkaufen. Ohne weitere Verifikation.
Deshalb: Kreditkarte bei Paypal eintragen und damit zahlen und niemals die karte aus der Hand geben. Alle Geschäfte sind verpflichtet (mittlerweile auch in den USA) dir eine Möglichkeit zu bieten deine Karte selbst in das Gerät zu stecken.
In diesem Satz versteckt sich die Schwachstelle: „… diese fordern aber nicht immer eine zusätzliche Authentifizierung an …“
Wird Zeit, dass Mechanismen wie MasterCard Securecode und Verified by VISA flächendeckend verwendet werden. Ansonsten Schuld des Kartenemittenten.
Mal sehen ob ich jetzt wieder kommentieren kann #8.1 Update ;-)
Nur Bares ist Wahres!
Gehts wieder?
manchmal frage ich mich, wo leben wir eigentlich.
ist es so schwierig zumindest für die westlichen länder bei den banken einen server aufzustellen, der, wenn man eine kreditkarte bei apple pay einfügt ein verifizierungstoken generiert, welches dem user, an eine von ihm bei der bank hinterlegten telefonnummer sendet. dieses token geht auch an apple und wird dann einfach abgeglichen.
ich mein sonst fügt sich der sohn die kreditkarte der eltern ein und geht dann fröhlich iphone shoppen!
Zum Glück habe ich zwei Töchter…