Apples Bezahldienst erfreut sich großer Beliebtheit. Immer mehr Banken bieten den Service des US-Riesen für ihre Kunden an. Bereits seit 2016 können Drittanbieter Apple Pay in ihre Websites einbetten und so als Zahlungsoption anbieten. Die Nutzung von Apple Pay gilt als sicher. Es gibt jedoch einen Haken: Bei der Integration kann es zu fatalen Sicherheitslücken kommen, die die Host-Website angreifen können.
Ist Apple Pay für Nutzer sicher?
Auf der „Black Hat“-Sicherheitskonferenz in Las Vegas hat ein Forscher herausgestellt, wie die Einbettung von Apple Pay dafür sorgen kann, dass Websites angreifbarer werden.
Zwar handelt es sich nicht um einen Fehler von Apple Pay und dem zugehörigen Zahlungsnetzwerk – die Ergebnisse veranschaulichen jedoch die Probleme, die durch Verbindungen von Webdiensten und die Integration von Drittanbietern entstehen können. Joshua Maddux, Mitarbeiter der Agentur PKC für Software- und Cybersicherheit bemerkte den Fehler, als er Apple Pay für einen Kunden implementierte.
Leichtes Spiel für Cyberkriminelle
Wird Apple Pay in eine Website integriert, erhält Apple die Befugnis, das Modul mit seiner eigenen Infrastruktur zu betreiben. Maddux bemerkte, dass die Verbindung zwischen einer Website und Apple Pay, sowie der zugehörige Validierungsmechanismus auf verschiedenste Weise aufgebaut werden kann – ganz nach dem Ermessen des Betreibers.
Eine Attacke ist dadurch ziemlich einfach: Cyberkriminelle können die URL, die eine Website nutzt, um sich mit Apple Pay zu verbinden, durch eine bösartige URL ersetzen. Diese sendet dann Anfragen und Befehle an die Infrastruktur der Website. Die Folge: Der Angreifer kann diese Situation ausnutzen, um Zugang zu geschützten Kundendaten zu erhalten.
Nutzerdaten in Gefahr
Die Schwachstellen gehören zu einer bekannten Art von Sicherheitslücke, die als „serverseitige Anforderungsfälschung“ bezeichnet wird und es Angreifern ermöglicht, Schutzmechanismen wie Firewalls zu umgehen, um Befehle direkt an Webanwendungen zu senden.
„Dies betrifft nicht Apple Pay selbst, sondern die Websites, die Apple Pay unterstützen“, so Maddux. „Allerdings vertrauen User, die Apple Pay verwenden, den Händlerseiten wertvolle Daten an, eine sichere Verbindung ist daher sehr wichtig.“
Es bleibt abzuwarten, ob und wann Apple auf die Ergebnisse reagiert. Du bist dir noch nicht sicher, ob der Bezahldienst was für dich ist? Dann informiere dich über die Vor- und Nachteile von Apple Pay. Außerdem solltest du über mögliche Gebühren bei Apple Pay Bescheid wissen.