2374055

Forensiker monieren, Apple Pay speichere zu wenig Daten

03.09.2018 | 17:32 Uhr |

Der russische Datenforensiker Elcomsoft hat sich näher mit den vom Bezahldienstes Apple Pay gespeicherten Daten beschäftigt.

Die Datenforensiker von Elkomsoft haben sich vor Kurzem den Bezahldienst von Apple angeschaut und versucht , so viele Daten wie möglich aus einem iPhone oder einer Apple Watch auszulesen. Etwas enttäuscht merken die Forensiker nun an, dass Apple Pay als Datenquelle nicht sonderlich viel hergibt: Zum einen sind die Daten direkt auf dem Gerät gespeichert und werden nirgendwo mehr synchronisiert. Weder im iCloud- noch im iTunes-Backup finden sich Transaktionen aus Apple Pay, diese werden auch nicht über iCloud abgeglichen. Dazu hält iOS bzw. watchOS nur die nötigsten Daten vorrätig: Nicht mal die vollständige Kartennummer lässt sich daraus ermitteln. Allerdings speichert das System das Bild der Kreditkarte, wenn der Nutzer seine neue Kreditkarte via iPhone-Kamera registriert hat. Auch eine andere wichtige Kennnummer – die Device Account Number – ist in den Systemdaten nur mit den letzten vier oder fünf Ziffern gespeichert. Diese Device Account Number virtualisiert quasi die eigene Kreditkarte und dient als Mittler zwischen dem Verkäufer und der eigentlichen Finanzinstitution. Der Verkäufer erhält somit fast vollkommen anonymisierte Zahlungsdaten und weiß nicht mal, welche Kreditkarte gerade die Rechnung bezahlt. Dies gilt für jede einzelne Transaktion: Selbst wenn der Nutzer fünf Minuten später den vergessenen Becher Schlagsahne an der gleichen Kasse bezahlt, sieht der Geschäftsbetreiber darin eine komplett andere Transaktion. Ähnlich funktioniert es beim Finanzinstitut – laut Elcomsoft übergibt Apple Pay keine genauen Daten zum Kauf, nur die benötigte Summe – was heißt, dass die Bank nicht weiß, was genau gekauft wurde.

Diesen Umstand monieren nun die Datenforensiker: "Einerseits schafft es eine ernsthafte Einschränkung: Selbst ein einfacher Kassenbeleg ist anhand der Daten von Apple Pay nicht mehr möglich. Andererseits speichert und verarbeitet Apple keine Daten, die nicht notwendig für die Bestätigung der Zahlung sind."

Unsere Meinung: Diese Kritik können wir nicht nachvollziehen, kann man sich einen Kassenbeleg doch gleich beim Kauf aushändigen lassen. Bei einer anderen Gelegenheit hat der gleiche iOS-Forensiker medienwirksam Apple dafür gerügt , dass Apple zu leichtfertig mit den Nutzerdaten umgehe und die verschlüsselten iTunes-Backups nun ohne Passwort speichere. Wir erachten die Kritik von Elkomsoft deshalb eher als Qualitätssiegel für Apple Pay: Wenn selbst ein veritabler Datenforensiker aus iOS und watchOS keine vernünftigen Daten auslesen kann, können das unbefugte Dritte erst recht nicht. Und dass die Anbieter die Nutzer quer durch eigene Geschäfte und Käufe nicht nachverfolgen können, finden wir persönlich auch gar nicht mal so schlecht. 

Macwelt Marktplatz

0 Kommentare zu diesem Artikel
2374055