Es klingt wie ein Szenario aus einem Cyber-Thriller: Ein gesperrtes iPhone liegt auf dem Tisch, ein Angreifer nähert sich mit etwas Technik – und schon sind 10.000 Dollar vom Konto des Opfers verschwunden. Genau das hat das YouTube-Format Veritasium in Zusammenarbeit mit Sicherheitsforschern der Universitäten Surrey und Birmingham demonstriert. Das prominente Opfer: Tech-YouTuber Marques Brownlee, besser bekannt als MKBHD. Doch wie realistisch ist diese Bedrohung wirklich, und wem gehört die Schuld?
Der Angriff: Ein hochkomplexes Relay-Setup
Der Exploit nutzt eine Schwachstelle im Zusammenspiel von Apples Express Transit Mode und Visa-Kreditkarten. Der Express Transit Mode wurde von Apple eigens dafür entwickelt, Zahlungen an Nahverkehrs-Terminals schnell und bequem zu ermöglichen – ganz ohne Entsperrung des iPhones. Genau hier setzt der Angriff an.
Die Forscher entwickelten einen sogenannten Relay-Angriff (Man-in-the-Middle). Dafür benötigen sie physische Nähe zum Opfer. Ein speziell präparierter NFC-Card-Reader fängt die Kommunikation zwischen dem iPhone und einem getäuschten Tap-to-Pay-Terminal ab. Dieser Reader ist mit einem Laptop verbunden, der die Zahlungsdaten aufbereitet und an ein separates Burner-Phone weiterleitet. Dieses Burner-Phone tippt dann an einem echten, legitimen Kartenterminal ein.
Damit der Angriff funktioniert, muss das NFC-Gerät exakt auf den Identifikator eines echten Transit-Terminals konfiguriert sein. Gelingt dies, wird die Transaktion vom iPhone als reguläre Fahrtbuchung interpretiert – und umgeht so die sonst üblichen Limits für Transaktionshöhen sowie die Notwendigkeit einer biometrischen Authentifizierung.
Visa vs. Apple: Wer ist schuld?
Die naheliegende Frage lautet: Ist das iPhone unsicher? Die kurze Antwort: Nein. Die längere Antwort: Es ist ein Visa-Problem. Der Exploit funktioniert ausschließlich mit Kreditkarten von Visa, die im Apple Wallet hinterlegt sind. Mastercard und American Express nutzen andere Sicherheitsprotokolle (wie die sogenannte Cryptogramme-Validierung), die diese Art von Umgehung verhindern. Auch Samsung Pay ist auf Android-Geräten nicht anfällig für diesen spezifischen Angriff.
Apple hat gegenüber Veritasium klargestellt, dass es sich um ein Problem im Visa-System handelt, das in der realen Welt höchst unwahrscheinlich sei. Visa selbst hält ebenfalls die praktische Relevanz für gering. Das Unternehmen verweist auf seine Zero Liability Policy, die Kreditkartennutzer vor unautorisierten Transaktionen schützt, und betont, dass derartige Buchungen im Zweifelsfall problemlos zurückgebucht werden können.
Einordnung: Die Diskrepanz zwischen Machbarkeit und Realität
Aus journalistischer Sicht muss man hier klar zwischen einem Proof of Concept und einer realen Bedrohung unterscheiden. Der Aufwand, den dieser Angriff erfordert, ist enorm. Der Angreifer braucht nicht nur physischen Zugang zum Gerät des Opfers, sondern auch spezialisierte Hardware, einen Laptop für die Datenweiterleitung und ein Burner-Phone in Reichweite eines echten Terminals. Zudem muss die Kommunikation in Echtzeit stattfinden. Ein solcher Angriff ist ein akademisches Meisterwerk, für den durchschnittlichen Betrüger in der U-Bahn jedoch schlichtweg zu aufwendig und zu fehleranfällig.
Visas Argument, dass dies im großen Maßstab nicht skalierbar sei, ist durchaus valide. Dennoch offenbart der Exploit ein fundamentales Problem der modernen Bequemlichkeits-Architektur: Sicherheit wird oft zugunsten von Geschwindigkeit geopfert. Der Express Transit Mode existiert, weil Pendler nicht jedes Mal Face ID nutzen wollen, wenn sie durch die Drehkreuze hetzen. Visa wiederum akzeptiert diese Transit-Buchungen ohne weitere Authentifizierung, um Reibungsverluste im System zu vermeiden. Genau diese Reibungslosigkeit macht den Angriff möglich.
Wie Nutzer sich schützen können
Für Endnutzer gibt es einen trivialen, aber effektiven Schutz: Wer im Apple Wallet statt einer Visa-Karte eine Mastercard oder American Express für den Express Transit Mode hinterlegt, ist gegen diesen spezifischen Exploit immun. Sollte man zwingend eine Visa-Karte nutzen müssen, empfiehlt es sich – wie die Forscher anmerken –, diese nicht für Transit-Zahlungen freizugeben.
Zusammenfassend bleibt festzuhalten: Die 10.000 Dollar von MKBHDs iPhone sind ein beeindruckender Beweis für die Kreativität von Sicherheitsforschern. Ein Grund zur Panik für iPhone-Nutzer besteht nicht, wohl aber ein Anlass für Visa, die kryptografischen Hürden für Transit-Zahlungen dringend zu überdenken. Denn in der Cybersecurity gilt: Wenn etwas machbar ist, ist es nur eine Frage der Zeit, bis es irgendwo auch praktisch ausgenutzt wird.
Quelle: MacRumors
