Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple Pay: Kreditkartendaten können angeblich leaken

Im öffentlichen Personennahverkehr New Yorks ist es möglich, einfach das gewünschte kontaktlose Zahlungsmittel an das Lesegerät der Zugangskontrolle zu halten – anstatt an einem Automaten ein Ticket zu lösen. Die Betreibergesellschaft hat sich zudem eine Komfortfunktion einfallen lassen, die manch einem aber die Haare zu Berge stehen lassen. So kann man sich auf der offiziellen Webseite sämtliche Aktivitäten der letzten sieben Tage anzeigen lassen, indem einfach nur die Kreditkartennummer eingegeben wird. Zur Verifizierung ist weder Name, Mail-Adresse noch die dreistellige Prüfziffer erforderlich, was es denkbar einfach macht, persönliche Daten abzugreifen. Wie es in einer offiziellen Stellungnahme heißt, überdenke man das System, bleibe vorerst aber bei besagtem "einfachem" Verfahren.


New Yorker Metro: Kartendaten bekannt – trotz Apple Pay?
Was aber gerade für besonderes Aufsehen sorgt, ist das Verhalten bei der Verwendung von Apple Pay. Ein Versuch offenbarte Verblüffendes: Wer eine Kreditkarte ausschließlich via Apple Pay in den Metrostationen einsetze, kann per Kartennummer trotzdem die Historie der letzten Tage einsehen. Genau das sollte aber unmöglich sein, denn ein Grundprinzip von Apple Pay lautet nun einmal, dass der Händler nicht die kompletten Karteninformationen sieht. Stattdessen erfolgt die Zuordnung über sich ständig ändernde Schlüssel, deren Auflösung nicht vom Betreiber des Zahlungsterminals vorgenommen wird.

Bislang keine Klarstellung von Apple
Von Apple gab es auf Nachfrage bislang keine Auskunft darüber, wie es überhaupt möglich ist, die Kreditkarteninformationen eines Nutzers von Apple Pay zu erlangen. In bestimmten Konstellationen scheint es wohl einen Weg zu geben, den Schutz des Zahlungssystems zu umgehen. Ob es sich um eine Art Kompatibilitätsmodus oder um eine Sicherheitslücke handelt, lässt sich schwer einschätzen. Aus diesem Grund ist darauf zu hoffen, bald eine Stellungnahme von Apple zu erhalten, an welcher Stelle der Fehler lag – denn auch ein Missverständnis lässt sich nicht ausschließen, welches Apple sicherlich klären könnte.
Apples interne Einschätzung: Zwei Jahre Rückstand zur KI-Konkurrenz
Apples interne Einschätzung: Zwei Jahre Rücksta...
Release Candidate ist da! iOS 18, iPadOS 18, macOS 15 und watchOS 11 sind fertig
Release Candidate ist da! iOS 18, iPadOS 18, ma...
iPhone 16: Lieferzeiten teils deutlich gestiegen – aktuelle Übersicht
iPhone 16: Lieferzeiten teils deutlich gestiege...
AirPods Pro als Hörgerät: Sorge bei etablierten Herstellern, Aktienkurse reagieren
AirPods Pro als Hörgerät: Sorge bei etablierten...
iPhone 16 Pro
iPhone 16 Pro
Ransomware eingefangen? Die meisten bezahlen ihre Erpresser
Ransomware eingefangen? Die meisten bezahlen ih...
Kopplung "iPhone + Apple Watch" sowie Anbindung von Zubehör: Apple drohen weitere rechtliche Probleme
Kopplung "iPhone + Apple Watch" sowie Anbindung...
Musikbranche verklagt KI-Anbieter
Musikbranche verklagt KI-Anbieter

Kommentare

eastmac
eastmac31.08.23 16:24
Mhhh, da bin ich mal gespannt....

"Apple told 404 Media it does not store or have access to the used card numbers, and does not provide these to merchants, including transit systems."
+5
aMacUser
aMacUser31.08.23 16:32
Vielleicht läuft das hintenrum über Visa/MasterCard/sonstEinAnbieter, spätestens die müssen ja die temporären Karten den echten Karten zuordnen können, wenn ich es richtig sehe.
+4
eastmac
eastmac31.08.23 16:35
Ich dachte, Apple verschleiert das auf dem Weg zu MK oder Visa...
0
eastmac
eastmac31.08.23 16:37
Apple Pay, which has a tokenised backend infrastructure, makes card payments secure by creating a number or token that replaces your card details. More specifically, it creates a Device Account Number for each one of your cards.
+2
aMacUser
aMacUser31.08.23 17:11
eastmac
Ich dachte, Apple verschleiert das auf dem Weg zu MK oder Visa...
Auf dem Weg dahin ja, aber da angekommen muss es ja irgendwie deinem Kreditkartenkonto zugewiesen werden.
+2
kiungo
kiungo31.08.23 17:13
aMacUser
Vielleicht läuft das hintenrum über Visa/MasterCard/sonstEinAnbieter, spätestens die müssen ja die temporären Karten den echten Karten zuordnen können, wenn ich es richtig sehe.

Ich vermute, dass das realistischer ist, als dass der Betreiber die ApplePay-Zuordnung aufgebrochen haben soll. Dennoch wäre es ein starkes Stück, wenn MasterCard oder Visa einem Händler Auskunft über bestimmte Kartenzahlungen geben, allein aufgrund der Kreditkartennummer.
Das würde die gesamte ApplePay-Verschleierung obsolet machen.
kiungo - Beratung, Schulung und Service rund um den Mac
+6
smileone31.08.23 17:48
Es handelt sich hierbei doch bestimmt um die Express ÖPNV-Karte, oder?

Wenn ich dieses System richtig verstehe, muss doch beim ein und aussteigen die Karte gezeigt werden, damit der Bahnbetreiber überhaupt den korrekten Fahrpreis (nach gefahrener Strecke) abrechnen kann.

Dafür kann nach meinem Verständnis keine Tokenbasierte Insfrastruktur genutzt werden. Wenn beim ein- und aussteigen unterschiedliche Kennungen genutzt würden, kann das System ja nicht die gefahrene Strecke berechnen.

Insofern verstehe ich die Nutzung der Kreditkartennummer als logisch … aber vielleicht verstehe ich das System auch nicht richtig.
+4
Markim
Markim31.08.23 23:43
Ich kann mir Folgendes vorstellen: Da man mit ApplePay einchecken und auch wieder auschecken muss, muss sichergestellt sein, dass die Karte wieder erkannt wird. Das Gleiche gilt bei einer Rückvergütung eines Kaufes. Aber wie das genau funktioniert, weiss ich nicht.
0
reissermichael01.09.23 03:34
Ich habe so ein System auch bereits genutzt. Dort hieß es allerdings, man müsse immer entweder die Karte mit ApplePay tappen oder aber immer die Kreditkarte - es funktioniere nicht korrekt, wenn man da wechselt.
Wie es technisch gelöst ist, würde mich auch interessieren.
0
gritsch01.09.23 09:17
Dass man aus der Zahlungsnummer die KK-Zuordnung nicht bekommt, bedeutet ja nicht dass man nicht aus der KK-Nummer die ganzen Zahlungsnummern bekommt!?
0
janstolle01.09.23 10:02
Das Ganze funktioniert aber absolut genauso in London. Ich habe dort beim TfL in meinen Account meine Kreditkartennummer eingetragen und es werden alle zugehörigen Apple Pay Karten angezeigt und der Fahrtverlauf angezeigt. Die haben im Back End eine Integration mit Apple damit die Abrechnung auch korrekt funktioniert
+1
sockenpuppe_23401.09.23 10:43
...oder die NY-Metro bezieht die Daten direkt von Visa/Mastercard/Amex? Sooo viele Kreditkarten-Backends gibt es ja nun auch wieder nicht.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.