In den vergangenen Wochen gab es in den USA des Öfteren Berichte über mutmaßliche Sicherheitsprobleme mit Apples mobilem Bezahldienst Apple Pay. Die Probleme liegen aber vielmehr bei den Banken und der Verifizierung ihrer Kunden.
Apple Pay ist der mobile Bezahldienst, der seit der Vorstellung des iPhone 6 und iPhone 6 Plusderzeit ausschließlich in den USA verfügbar ist. Rene Ritchie von iMore hatte in der Vergangenheit bereits mehrmals auf die vermeintlichen Probleme mit Apple Pay beziehungsweise derlückenhaften Verifikation der teilnehmenden Banken aufmerksam gemacht.
Im jüngsten Beispiel verweist Ritchie auf einen Bericht der New York Times, in dem Apple eine Sicherheitslücke in Apple Pay nahegelegt wird.
In der Vergangenheit hatten Kriminelle gestohlene Kreditkarten und Identitäten dazu verwendet, um Apple Pay auf ihren iPhones zu aktivieren. Durch die mangelhafte Verifizierung der Kunden durch die Banken war dies teilweise problemlos möglich. Dies ist also kein Sicherheitsproblem von Apple Pay.
Die Banken können den Kunden bei der Verifikation in einen “grünen Weg” oder “gelben Weg” leiten. Gibt es keine Zweifel an der korrekten Identität, wird der grüne Weg eingeschlagen und das gewünschte Zahlungsmittel für die Nutzung in Apple Pay freigegeben. Bei möglichen Problemen wird der gelbe Weg gewählt und es erfolgen weitere Methoden zur Sicherstellung der korrekten Identität des Kunden.
Bei der Verifizierung stehen den Banken verschiedene Möglichkeiten zur Verfügung. Neben dem Abgleich mit Daten, die Apple bei der Registrierung einer neuen Zahlungsmethode an die Banken übermittelt, können Banken etwa zu weiteren Mitteln, wie zum Beispiel SMS, E-Mail oder Anrufen beim Kunden zurückgreifen.
Apple hat hierzu ein Dokument veröffentlicht, in dem unter anderem nachzulesen ist, welche Informationen an die Banken beim Registrierungsversuch übermittelt wird. Zu den von Apple übertragenen Daten gehören etwa iTunes-Aktivitäten und Geräte-Informationen (Name des iPhone, Standort, etc.). Diese können von der Bank zum Vergleich mit den Kundendaten genutzt werden. Tauchen hierbei widersprüchliche Informationen auf, kann die Bank zu weiteren, oben beschriebenen Schritten greifen.
Wie das Wall Street Journal berichtet, hatten US-Banken in einigen Fällen auch als gestohlen bekannte Kreditkartendaten für Apple Pay freigeschaltet. Die Banken hatten beschlossen, dass es für sie günstiger ist, sich mit den Betrugsfällen auseinanderzusetzen, als den Kunden neue Karten zu schicken.
Viele US-Medien berichten aber weiterhin, dass Apple Pay selbst unsicher sei, obwohl es die Banken sind, die es den Kriminellen zu leicht machen, sich mit gestohlenen Identitäten und gestohlenen Kreditkartendaten für Apple Pay – oder ähnliche Bezahldienste – zu registrieren.
