Angreifer können hohe Geldbeträge von gesperrten iPhones abbuchen – ohne Passwort oder FaceID.
Die Kombination aus Apples Express-ÖPNV-Funktion und dem Sicherheitsprotokoll von Visa öffnet eine Lücke für gezielte Manipulationen. In einer aktuellen Demonstration zeigten Experten, wie fünfstellige Beträge ohne Nutzerinteraktion von einem gesperrten Gerät gestohlen wurden.
Ob Express-Modus, NFC oder FaceID – wer bei den technischen Begriffen rund um sein iPhone den Überblick verliert, findet in diesem kostenlosen Ratgeber einfache Erklärungen. Sichern Sie sich das PDF-Lexikon mit 53 wichtigen Apple-Begriffen inklusive praktischer Aussprachehilfen. Die 53 wichtigsten iPhone-Begriffe jetzt kostenlos sichern
Virale Demonstration zeigt Diebstahl von 10.000 US-Dollar
Den Stein ins Rollen brachte Mitte April eine aufwendig dokumentierte Untersuchung. Ein bekanntes Wissenschaftsportal demonstrierte zusammen mit einem Technik-Experten, wie ein gesperrtes iPhone zur Zahlung von 10.000 US-Dollar gebracht wird.
Das Szenario: Das Telefon liegt mit ausgeschaltetem Bildschirm auf einer Oberfläche. Angreifer leiten mit spezialisierter Hardware eine Transaktion ein. Das Gerät fordert weder Bestätigung noch Entsperrung.
Der Angriff nutzt aus, dass das iPhone beim Erkennen eines bestimmten Signals annimmt, es befinde sich an einem ÖPNV-Terminal. Die Angreifer simulieren dieses Signal mit einem manipulierten NFC-Lesegerät. Dieses leitet die Zahlungsdaten über einen Computer und ein zweites Handy an ein reguläres Bezahlterminal weiter.
Der Clou: Die Hardware lässt das iPhone glauben, es handele sich um eine geringfügige Fahrpreiszahlung. Gegenüber dem Bankterminal autorisiert sie aber eine hohe Summe.
Experten betonen: Der Aufbau für einen solchen Diebstahl ist hochkomplex. Er erfordert spezielles Equipment und physische Nähe zum Opfer.
Spezifische Lücke im Visa-Protokoll
Der Fehler liegt nicht allein bei Apple. Er entsteht in der Interaktion mit den Sicherheitsprotokollen von Visa. Forscher der Universitäten Surrey und Birmingham zeigten bereits früher: Dieses Einfallstor existiert bei Mastercard oder American Express nicht.
Der Grund: Visa-Transaktionen im Transit-Modus werden anders verarbeitet. Während andere Anbieter bei hohen Beträgen oder Offline-Szenarien zusätzliche Prüfungen erzwingen, erlaubt Visa unter bestimmten Bedingungen den Verzicht auf Authentifizierung – wenn das Terminal als ÖPNV-Punkt identifiziert wird. Angreifer manipulieren die Datenpakete, um Betragsobergrenzen für kontaktloses Bezahlen zu umgehen.
Android-Smartphones mit Google Wallet oder Samsung Pay sind von dieser Lücke nicht betroffen. Diese Systeme blockieren hohe Beträge im Transit-Modus konsequent, solange keine biometrische Bestätigung vorliegt.
Apple und Visa schieben sich den Schwarzen Peter zu
Apple betont: Es handle sich um ein Problem im System des Zahlungsdienstleisters. Das iPhone reagiere nur auf die Signale, die von den Kartenorganisationen für den ÖPNV-Einsatz spezifiziert wurden.
Visa hingegen hält die Angriffe unter realen Bedingungen für äußerst unwahrscheinlich. Man verweist auf bestehende Überwachungssysteme und die Haftungsfreistellung bei unautorisierten Zahlungen (Zero Liability Policy).
Sicherheitsforscher fordern seit längerem eine Anpassung der Protokolle. Die technische Möglichkeit eines massiven finanziellen Schadens besteht weiterhin, solange kein Software-Fix kommt.
Branchenkenner merken an: Die mangelnde Bereitschaft beider Seiten, Verantwortung zu übernehmen, lässt die Nutzer in einer verwundbaren Lage zurück. Der Express-Modus wird bei vielen iPhones standardmäßig aktiviert, sobald eine kompatible Karte hinzugefügt wird. Viele Besitzer kennen das Risiko nicht.
Solche Sicherheitslücken machen deutlich, wie wichtig die richtige Konfiguration Ihres iPhones nach jedem Software-Update ist. Apple-Experte Detlef Meyer zeigt Ihnen in diesem Gratis-Ratgeber, wie Sie Ihre Privatsphäre schützen und Updates stressfrei installieren. Kostenlosen Ratgeber für sichere iOS-Updates herunterladen
So schützen Sie sich
Die einfachste Absicherung: Deaktivieren Sie den Express-ÖPNV-Modus in den Wallet-Einstellungen oder hinterlegen Sie keine Visa-Karte dafür.
Wenn die Funktion auf „Keine“ gestellt wird, müssen Sie jede Zahlung manuell per FaceID oder Passcode autorisieren. Das kostet ein paar Sekunden, eliminiert aber die Angriffsmöglichkeit komplett.
Alternativ: Nutzen Sie eine Karte eines anderen Anbieters für den Express-Modus. Aktivieren Sie zusätzlich Benachrichtigungen für alle Transaktionen. Eine sofortige Push-Nachricht hilft, die Karte bei unberechtigten Abbuchungen umgehend zu sperren.
Ausblick: Wer muss liefern?
Die Debatte zeigt ein strukturelles Problem vernetzter Bezahlsysteme: die Fragmentierung der Sicherheitsverantwortung. Wenn Hardware-Hersteller und Finanzdienstleister keine einheitlichen Standards für Ausnahmeregelungen finden, entstehen Grauzonen für technisch versierte Kriminelle.
Die Schwachstelle ist seit Jahren in der Forschung bekannt. Erst die publikumswirksame Demonstration setzt die Unternehmen jetzt unter Druck. Apple könnte in kommenden Updates zusätzliche Prüfungen einführen, um die Echtheit von ÖPNV-Terminals besser zu verifizieren. Visa muss seine globalen Standards anpassen. Bis dahin bleibt die Eigenverantwortung der Nutzer der wichtigste Schutz.
