Apple: Sicherheitslücke erlaubt Zahlungen mit gesperrtem iPhone

000 Euro über Express Transit Mode – Apple startet globale Sicherheitskampagne.**

Eine anhaltende Schwachstelle in der Interaktion zwischen der NFC-Hardware von Apples iPhone und dem Visa-Zahlungsnetzwerk hat sich erneut als kritisch erwiesen. Forscher der Universitäten Surrey und Birmingham demonstrierten Mitte April 2026 erfolgreich den Diebstahl von 10.000 Euro von einem gesperrten iPhone des bekannten Tech-Reviewers Marques Brownlee. Die Lücke nutzt den Express Transit Mode aus und ermöglicht unautorisierte Abbuchungen ohne biometrische Freigabe oder Passcode des Besitzers. Die Enthüllung fällt mit einer dringenden globalen Sicherheitskampagne von Apple zusammen, das am 15. April 2026 Notfallwarnungen zu aktiven Angriffen auf ältere iOS-Versionen herausgab.

Viele iPhone-Nutzer übersehen nach dem Update diese gefährliche Einstellung. Apple-Experte Detlef Meyer erklärt in diesem kostenlosen Ratgeber, wie Sie Ihre Daten mit wenigen Klicks wirklich schützen. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen

So funktioniert der Express-Transit-Angriff

Die Schwachstelle nutzt eine Lücke in der Verarbeitung kontaktloser Zahlungen, wenn eine Visa-Karte als Standard für Transitdienste hinterlegt ist. Mit spezieller NFC-Hardware und einem Zweithandy tricksten die Forscher ein gesperrtes iPhone aus. Es dachte, mit einem echten Transit-Terminal zu kommunizieren. Dieser „Man-in-the-Middle“-Angriff umgeht die üblichen Sicherheitsabfragen von Apple Pay.

Der Angriff zielt speziell auf den Express Transit Mode ab. Diese Funktion soll Pendler ermöglichen, ihr Gerät an Drehkreuzen zu nutzen, ohne den Bildschirm zu aktivieren oder FaceID zu verwenden. Die Forscher zeigten, dass sie durch das Vortäuschen von Transit-Lesersignalen Transaktionen mit hohem Wert autorisieren konnten. Obwohl die Schwachstelle bereits 2021 öffentlich bekannt wurde, bestätigt die aktuelle Demonstration, dass das zugrundeliegende Problem in der aktuellen Umgebung unbehoben ist.

Apple behauptet, der Fehler liege in den Sicherheitsprotokollen des Visa-Netzwerks, nicht in der iPhone-Hardware. Visa betonte, solche Angriffe seien in der realen Welt schwer umzusetzen, und verwies auf die Null-Haftungs-Policen für Karteninhaber. Die Forscher wiesen jedoch darauf hin, dass die Lücke andere Netzwerke wie Mastercard oder American Express sowie Konkurrenzdienste wie Samsung Pay nicht betrifft.

Dringende Warnungen und Ende von iOS 26.4

Parallel zum NFC-Problem geht Apple aggressiv gegen andere aktive Bedrohungen vor. Die Warnung vom 15. April hebt eine Zero-Day-Lücke in der Safari WebKit-Engine hervor. Sie könnte Angreifern die Fernsteuerung eines Geräts oder den Diebstahl sensibler Daten ermöglichen, wenn Nutzer eine bösartige Webseite besuchen. Die Bedrohung betrifft laut Apple Versionen unter iOS 17.3. Chinesische Behörden hatten bereits am 3. April vor Versionen von iOS 13.0 bis 17.2.1 gewarnt.

Als Gegenmaßnahme verschärft Apple sein Software-Lifecycle-Management. Am 16. April stellte das Unternehmen offiziell die Signierung von iOS 26.4 ein. Nutzer können ihre Software damit nicht mehr von der aktuellen Version 26.4.1 zurücksetzen. Dies ist eine Standard-Sicherheitsmaßnahme, um zu verhindern, dass Nutzer zu Versionen mit bekannten Schwachstellen zurückkehren.

Der Übergang verläuft nicht reibungslos. Ein Bug in iOS 26.4 hatte das tschechische Zeichen „há?ek“ von der Sperrbildschirm-Tastatur entfernt. Da Apple Downgrades nun blockiert, können Nutzer mit Passcodes, die dieses Zeichen enthalten und noch nicht aktualisiert haben, ihre Geräte nicht mehr entsperren. Als einzige offizielle Lösung bietet das Unternehmen eine Geräterestaurierung an.

Siri-Überholung und KI-Bootcamp

Hinter den Kulissen vollzieht Apple eine bedeutende organisatorische Wende, um seine KI-Fähigkeiten zu modernisieren. Berichten vom 15. April zufolge schickte das Unternehmen fast 200 Siri-Ingenieure in ein mehrwöchiges KI-Coding-Bootcamp. Das Trainingsprogramm soll die Lücke zwischen Apples altem Assistenten und modernen generativen KI-Tools schließen.

Die Siri-Abteilung galt intern als Nachzügler bei der Einführung fortschrittlicher KI-Entwicklungspraktiken. Das im April gestartete Bootcamp konzentriert sich auf Prompt Engineering, Retrieval-Augmented Generation (RAG) und KI-Agenten-Frameworks. Während ein Großteil des Personals trainiert, arbeitet ein Kernteam von etwa 60 Ingenieuren an der sofortigen Entwicklung einer neuen Siri-Version, die von Googles Gemini-Modellen angetrieben wird.

Die Überholung zielt auf eine große Enthüllung auf der WWDC 2026 (8.-12. Juni) ab. Das Ziel ist es, Siri von einem einfachen Sprachbefehlstool in einen kontextbewussten KI-Assistenten zu verwandeln, der mehrstufige Anfragen bearbeiten kann. Die neue Erfahrung soll zusammen mit iOS 27 im September 2026 erscheinen.

Infrastruktur- und Service-Upgrades

Apple bereitet auch Verbesserungen seiner physischen Service-Infrastruktur vor. Ab Ende April 2026 sollen Apple Stores und autorisierte Serviceanbieter neue Hardware-Tools namens „Repair Docks“ erhalten. Diese Geräte ermöglichen Technikern, Software-Wiederherstellungen an Apple Watches direkt im Geschäft durchzuführen.

Bisher mussten Apple-Watch-Modelle mit schwerwiegenden Softwareproblemen, wie Boot-Loops oder fehlgeschlagenen Updates, oft an externe Servicezentren geschickt werden. Dies traf besonders auf Modelle ab der Series 7 zu, denen ein physischer Diagnoseport fehlt. Die neue In-Store-Wiederherstellungsfunktion soll die Ausfallzeiten für Kunden erheblich reduzieren.

Zudem testet das Unternehmen neue Umsatzquellen und Kommunikationsfunktionen in seinen neuesten Software-Betas. iOS 26.5 Beta 2, die zwischen dem 13. und 16. April an Entwickler und öffentliche Tester verteilt wurde, enthält Backend-Support für lokale Werbung innerhalb von Apple Maps. Diese Funktion, die im Sommer 2026 in den USA und Kanada starten soll, wird gesponserte Ergebnisse basierend auf dem Standort und den Suchbegriffen eines Nutzers anzeigen. Die Beta enthält auch Fortschritte beim RCS-Messaging, insbesondere die Hinzufügung von Ende-zu-Ende-Verschlüsselung für die plattformübergreifende Kommunikation zwischen iPhone- und Android-Nutzern.

Analyse: Sicherheit versus Komfort

Die parallelen Entwicklungen der NFC-Schwachstelle und der dringenden WebKit-Patches verdeutlichen eine anhaltende Spannung in der Mobilfunkbranche zwischen Nutzerkomfort und robuster Sicherheit. Funktionen wie der Express Transit Mode sollen den Alltag erleichtern, doch die Forschung vom April 2026 beweist, dass solcher Komfort enge, aber signifikante Angriffsvektoren schaffen kann. Der Diebstahl von 10.000 Euro von einem gesperrten Gerät ist eine deutliche Erinnerung daran, dass physischer Zugang zum Gerät in Kombination mit spezialisierter Hardware selbst ausgeklügelte biometrische Schutzmaßnahmen umgehen kann.

Apples Reaktion – die Aufforderung zu sofortigen Updates und die Blockierung von Downgrades – spiegelt einen „Walled Garden“-Ansatz wider, der die neuesten Patches über die Nutzerwahl bei Softwareversionen stellt. Während diese Strategie das Risiko weit verbreiteter Angriffe mindert, kann sie bestimmte Nutzergruppen, wie die von dem tschechischen Tastatur-Bug Betroffenen, in eine schwierige Lage bringen. Der branchenweite Push hin zu generativer KI und die Integration von Drittanbietermodellen wie Google Gemini verkompliziert diese Lage weiter, da Apple seine traditionelle Privatsphäre-zuerst-Haltung mit den Datenanforderungen fortschrittlicher KI-Assistenten in Einklang bringen muss.

Angesichts der aktuellen Bedrohungslage durch neue Software-Lücken ist ein verständlicher Überblick über die iPhone-Technik wichtiger denn je. Sichern Sie sich dieses kostenlose PDF-Lexikon, das die 53 wichtigsten Apple-Begriffe von AirDrop bis iOS ohne Fachchinesisch erklärt. Jetzt iPhone-Lexikon gratis anfordern

Ausblick

Im weiteren Verlauf des zweiten Quartals 2026 wird der Fokus auf der Stabilität des kommenden iOS 26.5 liegen. Während die zweite Beta bedeutende Funktionen wie RCS-Verschlüsselung und Maps-Werbung einführte, berichteten Tester am 16. April von Leistungseinbußen und hohem Akkuverbrauch. Eine dritte Beta wird um den 20. April erwartet, mit einem finalen öffentlichen Release für Mitte Mai 2026.

Weder Apple seine Entwicklerkonferenz im Juni vorbereitet, werden die Ergebnisse des Siri-Ingenieur-Bootcamps genau beobachtet. Der Erfolg des Gemini-betriebenen Siri-Upgrades wird wahrscheinlich die Wettbewerbsposition von Apple im KI-Markt für den nächsten Hardware-Zyklus bestimmen. In der Zwischenzeit wird das Unternehmen seine globale Kampagne fortsetzen, Nutzer zum Verlassen veralteter iOS-Versionen zu bewegen, da die Bedrohungslage für webbasierte Angriffe weiterhin im Wandel ist.

de | boerse | 69171713 |