Исследователи обнаружили уязвимость в настройках Apple Pay-Visa, которая может позволить хакерам обойти экран блокировки Apple Pay на iPhone. Фото: Lightfieldstudiosprod via Dreamstime  | Epoch Times Россия
Исследователи обнаружили уязвимость в настройках Apple Pay-Visa, которая может позволить хакерам обойти экран блокировки Apple Pay на iPhone. Фото: Lightfieldstudiosprod via Dreamstime

Небезопасное удобство

Выявлены недостатки бесконтактных платежей с помощью Apple Pay
Автор: 20.04.2022 Обновлено: 20.04.2022 07:32
Исследователи из Университета Бирмингема и Университета Суррея в рамках проекта TimeTrust обнаружили уязвимость в системе Apple Pay-Visa. Она позволяет хакерам обойти экран блокировки Apple Pay на iPhone для осуществления бесконтактных платежей с помощью карты Visa на любую сумму без авторизации пользователя.

Уязвимости были обнаружены в кошельках iPhone, где карты Visa были настроены в режиме «экспресс-транзита». Эта функция позволяет пользователям совершать бесконтактные мобильные платежи без аутентификации по отпечатку пальца.

Злоумышленники могут использовать эту уязвимость для обхода экрана блокировки Apple Pay и незаконно совершать платежи с помощью карты Visa на любом бесконтактном считывающем устройстве Europay, Mastercard и Visa (EMV) — на любую сумму без авторизации пользователя.

Уязвимость обнаружена в совместной работе систем Apple Pay и Visa и не затрагивает другие комбинации, такие как Mastercard в iPhone или Visa в Samsung Pay.

Дополнительно исследователи протестировали Samsung Pay, а также провели свои симуляционные тесты хакеров с помощью Mastercard, но обнаружили, что их нельзя так легко взломать. Способ работы их уровней безопасности не позволяет хакерам получить доступ к учётным записям.

Как обнаружили недостаток?

Исследователи использовали простое радиооборудование для идентификации уникального кода, транслируемого транзитными воротами или турникетами. Код под названием «волшебный байт» (Magic Bytes), разблокировал Apple Pay.

«Команда обнаружила, что может использовать этот код для создания помех сигналам, идущим между iPhone и считывателем карт в магазине. Передавая ‘’волшебный байт’’ и изменяя другие поля в протоколе, они могли обмануть iPhone, заставив его думать, что он контактирует с транзитными воротами вместо продавца в магазине», — сказала Андреа-Ина Раду, руководившая исследованием в Школе компьютерных наук Бирмингемского университета.

Подобный метод убеждает терминал в магазине в том, что iPhone успешно завершил авторизацию пользователя, поэтому платежи на любую сумму могут быть осуществлены без его ведома.

Кроме того, недоработки системы позволяют обойти лимит бесконтактных транзакций, разрешая неограниченное количество бесконтактных транзакций EMV с заблокированного iPhone.

По словам Раду, этот проект является ярким примером того, как функция, призванная постепенно облегчить жизнь, даёт обратный эффект и негативно влияет на безопасность, что может иметь серьёзные финансовые последствия для пользователей.

Ответ Apple и Visa

Об уязвимости исследователи сообщили Apple в октябре 2020 года и компании Visa в мае 2021 года. Обе стороны признали серьёзность уязвимости, но не пришли к соглашению о том, кто должен заняться её устранением.

«Наша работа включает в себя формальное моделирование, которое показывает, что Apple или Visa могут самостоятельно смягчить эту атаку. Мы проинформировали обе стороны несколько месяцев назад, но ни одна из них не исправила свою систему, поэтому уязвимость остаётся активной», — сказала Раду.

По словам представителя Apple, уязвимость связана с системами Visa, но Visa не верит в подобное мошенничество, учитывая наличие нескольких уровней безопасности.

Как защитить себя?

Однако пользователи могут защитить себя, не используя карту Visa в качестве транспортной карты в Apple Pay. В случае её использования, они должны предусмотреть возможность удалённого сброса данных с устройства при его потере или краже.

Исследователи продолжают расследование ситуации и представят свои результаты на симпозиуме IEEE по безопасности и конфиденциальности в 2022 году.

 

Комментарии
Дорогие читатели,

мы приветствуем любые комментарии, кроме нецензурных.
Раздел модерируется вручную, неподобающие сообщения не будут опубликованы.

С наилучшими пожеланиями, редакция The Epoch Times

Упражения Фалунь Дафа
ВЫБОР РЕДАКТОРА