24. April 2026, 12:10 Uhr | Lesezeit: 3 Minuten
Mobiles Bezahlen mit dem iPhone ist für viele längst Routine. Ein kurzer Kontakt mit dem Terminal genügt und der Bezahlvorgang ist abgeschlossen. Ein Experiment zeigt jedoch, dass diese Bequemlichkeit auch Risiken birgt.
Der Wissenschaftskanal Veritasium hat gemeinsam mit dem Technik-YouTuber Marques Brownlee demonstriert, dass unter bestimmten Bedingungen Zahlungen ausgelöst werden können, ohne dass das iPhone entsperrt wird. Besonders kritisch ist dabei, dass diese Schwachstelle seit über vier Jahren bekannt ist.
So funktioniert der gezeigte Angriff
Im Fokus steht der sogenannte ÖPNV-Expressmodus von Apple Pay. Diese Funktion ermöglicht schnelles Bezahlen im Nahverkehr, ohne eine zusätzliche Bestätigung. Genau diese Vereinfachung nutzten die Forscher aus. In dem Experiment kam eine Man-in-the-Middle-Attacke zum Einsatz. Dabei wird das iPhone auf ein manipuliertes NFC-Lesegerät gelegt, das sich als legitimes Terminal ausgibt. Das Gerät liest die Zahlungsdaten aus und leitet sie an ein Notebook weiter, wo sie durch ein Skript gezielt verändert werden.
Nach der Manipulation wurden die Daten auf ein vorbereitetes Zweitgerät übertragen, in diesem Fall ein angepasstes Android-Smartphone. Wird dieses anschließend an ein echtes Kartenlesegerät gehalten, wird die Zahlung ausgeführt. Grundlage dafür sind die zuvor abgefangenen Daten des iPhones. Wichtig ist dabei, dass das manipulierte Lesegerät die gleiche Terminal-ID verwendet wie ein echtes ÖPNV-Terminal. Nur so akzeptiert das iPhone die Verbindung. Im Versuch gelang zunächst eine Abbuchung von 5 US-Dollar und später sogar 10.000 US-Dollar.
Diesen Hack in der iPhone Wallet kannten Sie garantiert noch nicht
Fahrscheinautomaten verschwinden! So kommt man noch an ein Ticket
Schwachstelle betrifft vor allem Visa-Karten
Die Methode ist nicht neu. Bereits im Jahr 2021 wurde sie von Sicherheitsforschern der Universitäten Surrey und Birmingham gezeigt. Betroffen sind vor allem Karten von Visa. Der Grund liegt darin, dass Visa bei online angebundenen Terminals keine zusätzliche symmetrische Verschlüsselung einsetzt. Dadurch lassen sich Transaktionsdaten abfangen und verändern.
Voraussetzung für den Angriff ist ein online verbundenes Kartenlesegerät. Die Betreibung solcher Geräte erfolgt im Nahverkehr meist offline, dennoch fehlt ein Mechanismus, der ungewöhnliche Abläufe erkennt. Apple selbst hat nach eigenen Angaben keinen Einfluss auf diese Entscheidung.
Auch interessant: Online-Banking auf Android? Experten schlagen Alarm
Kaum Gegenmaßnahmen trotz bekannter Risiken
Warum Visa bisher keine zusätzlichen Schutzmaßnahmen eingeführt hat, bleibt offen. Laut Veritasium geht das Unternehmen davon aus, dass solche Angriffe in der Praxis keine große Rolle spielen. Zudem bestehe die Möglichkeit, unberechtigte Zahlungen nachträglich abzulehnen. Sicherheitsforscher sehen die Lage kritischer. Sie warnten bereits 2021 vor möglichen Angriffsszenarien, insbesondere bei verlorenen oder gestohlenen iPhones.
Ein Blick in die eigenen Einstellungen kann helfen, das Risiko zu verringern. Vor allem beim Einsatz des Expressmodus im Nahverkehr lohnt es sich, zu prüfen, welche Karte hinterlegt ist. Für Nutzer einer Visa-Kreditkarte kann es sinnvoll sein, die betreffende Einstellung abzuschalten oder auf ein anderes Zahlungsmittel auszuweichen. Fehlt diese Verknüpfung, ist der dargestellte Angriff in dieser Form nicht möglich. Dadurch sinkt die Gefährdung spürbar – besonders in Fällen, in denen ein iPhone verloren geht oder in falsche Hände gerät.