iPhone-Schwachstelle betrifft Visa: Forscher zeigen Angriff auf Express Transit
Das Wissenschaftsformat Veritasium zeigt in einem Video eine spezielle Methode, mit der ein gesperrtes iPhone zu NFC-Zahlungen verleitet werden kann.
Im Fokus steht eine seit 2021 bekannte Schwachstelle, die laut Darstellung des Videos auf einer Kombination mehrerer technischer Besonderheiten beruht. Die Forscher Ioana Boureanu und Tom Chothia demonstrieren, wie ein iPhone im Sperrzustand auf manipulierte NFC-Signale reagiert.
NFC-Mechanismus und Express Transit als Angriffspunkt
Der Kern des Ansatzes ist die Funktion „Express Transit“, die kontaktlose Zahlungen ohne Entsperren ermöglicht. Dabei wird das Gerät so manipuliert, dass es ein Terminal als legitimes Verkehrssystem interpretiert. In der Folge initiiert das iPhone eine Zahlung, obwohl reguläre Sicherheitsabfragen umgangen werden, wie im eingebundenen Video zu sehen ist.
Zentrale technische Punkte
- Ausnutzung von NFC-Kommunikation im Sperrzustand
- Fehlinterpretation eines manipulierten Terminals
- Umgehung zusätzlicher Schutzmechanismen
- Abhängigkeit von aktivierter Express-Transit-Option
Laut Unternehmensangaben von Apple hängt die Ursache mit Spezifikationen im Visa-System zusammen. Visa erklärt, reale Angriffe seien unwahrscheinlich und verweist auf Schutzmechanismen für Nutzer. Andere Kartenanbieter sind laut Bericht nicht betroffen.
Ich halte die technische Demonstration für nachvollziehbar, aber stark auf Laborbedingungen zugeschnitten. Für den Alltag wirkt das Szenario derzeit wenig praxisnah, interessant ist es dennoch.
Ich betrachte dies tendenziell eher als Clickbait anstatt als ein authentisches Szenario. Ähnlich der Beiträge des ÖRR zu kontaktlosen Karten vor einigen Jahren.
Puh. Wenn Entwickler und Forscher über einen längeren Zeitraum hinweg intensiv nach Sicherheitslücken suchen, diese finden und im Detail erklären, ist das sicherlich kein „Clickbait“. Das ist ein wichtiger Bestandteil des Marktes und hat viele Jahre lang immer für ein erhöhtes Sicherheitslevel gesorgt. Ob KI solche Lücken in Zukunft besser finden kann, muss sich noch zeigen. Ich finde es aber nicht gut, wenn solche Arbeit abgewertet wird.
Ich bezog mehr auf den Videobeitrag als auf die Sicherheitslücke. Vertasium Videos sind halt sehr auf Clickbait bezogen, vor allem seit der Private Equity Übernahme.
Zur Sicherheitslücke sollte man wohl dazu sagen, dass die seit 2022 öffentlich ist. Wenn sie so gefährlich wäre, dann hätte Visa das bestimmt gefixt, vor allem da sie ja für Schäden haften. Scheint in der Realität also nicht viele Auswirkungen zu haben.
Ja okay, so funktioniert YouTube halt. Sonst bekommst du keine Reichweite.