Apple Pay frustriert russische Datenforensiker

Ein größeres Kompliment kann es wohl für Apple Pay nicht geben. Die russischen Sicherheitsexperten von Elcomsoft monieren, dass der Bezahldienst des US-Unternehmens zu wenig Daten auf den Geräte speichere. Für Forensiker vielleicht ein Problem, für alle diejenigen, die sich um die Sicherheit ihrer sensiblen Daten sorgen, eine Beruhigung.

Die Spezialisten von Elcomsoft haben sich geraume Zeit mit dem Bezahldienst beschäftigt und dabei versucht, so viele Daten wie nur möglich aus einem iPhones oder eine Apple Watch auszulesen. Das Ergebnis war eine Enttäuschung. Demnach eignet sich Apple Pay als Datenquelle denkbar schlecht, was im Umkehrschluss bedeutet, dass die Nutzerdaten maximal sicher sind.

Russische Sicherheitsexperten scheitern an Apple Pay

Elcomsoft will herausgefunden haben, dass Daten weder im iTunes-Backup noch in der iCloud-Sicherung zu finden sind. Eine Synchronisierung per iCloud findet ebenfalls nicht statt. Daher kann sich noch nicht einmal die vollständige Kartennummer ermitteln lassen. Auch eine weitere relevante Kennnummer – die sogenannte Device Account Number – wird nur mit den letzten vier oder fünf Ziffern abgelegt.

Diese Nummer dient als Vermittler zwischen Verkäufer und Finanzinstituten und virtualisiert dazu quasi die Kreditkarte. Als Resultat erhält der Verkäufer nahezu vollkommen anonymisierten Zahlungsdaten und kann so nicht ermitteln, welche Kreditkarte die Rechnung bezahlt. Das gilt übrigens für jede Transaktion. Kauft der Nutzer zum Beispiel fünf Minuten später ein weiteres Produkt und zahlt per Apple Pay, ist dies für den Geschäftsbetreiber eine komplett neue Transaktion.

Verkäufer und Finanzinstitute erhalten kaum Daten

Ganz ähnlich arbeitet der Bazahldienst mit Finanzinstituten zusammen. Er übergibt keine genauen Daten zum Kauf, sondern einzig die entsprechende Summe. Die Bank kann also nicht ermitteln, was konkret gekauft wurde. Elcomsoft sieht darin einen Nachteil und schreibt: „Einerseits schafft es eine ernsthafte Einschränkung: Selbst ein einfacher Kassenbeleg ist anhand der Daten von Apple Pay nicht mehr möglich. Andererseits speichert und verarbeitet Apple keine Daten, die nicht notwendig für die Bestätigung der Zahlung sind.“

Eine Kritik, die nicht nachvollziehbar ist. Das Gegenteil ist der Fall. Die Ergebnisse der kritischen Untersuchung des russischen Spezialisten können und sollten als Qualitätssiegel für den Bezahldienst ausgelegt werden. Wenn selbst eine russischer Spezialist nicht in der Lage ist, Daten aus dem Dienst auszulesen, kann dieser als maximal sicher angesehen werden. Ein größeres Kompliment kann es für den iPhone-Hersteller also überhaupt nicht geben.