В Apple Pay знайшли уразливість, яка дозволяє вкрасти будь-яку суму з прив'язаною карти Visa
Експерти відзначають, що на сьогоднішній день ця вразливість все ще актуальна, тому користувачам Apple Pay з картами Visa безперечно варто враховувати цю особливість.
«Наші обговорення з Apple і Visa показали, що, коли обидві сторони в галузі частково винні в події, жодна з них не бажає брати на себе відповідальність і впроваджувати зміни, залишаючи користувачів уразливими на невизначений термін» , - прокоментувала фахівець Андреа Раду (Andreea Radu) з університету Бірмінгема.
Дослідники з британських університетів Бірмінгема і Суррея виявили уразливість в безконтактної системі платежів Apple Pay, що дозволяє зняти будь-яку суму грошей з прив'язаною до неї банківської карти без необхідності розблокувати iPhone. Експеримент підтвердив, що метод працює тільки з банківськими картами Visa.
:extract_focal()/https%3A%2F%2F3dnews.ru%2Fassets%2Fexternal%2Fillustrations%2F2021%2F09%2F30%2F1050286%2F120724952.jpg)
Джерело зображення: Getty Images
Особливість системи Apple Pay полягає в тому, що вона підтверджує транзакцію тільки при певних умовах. Щоб платіж пройшов, власник смартфона повинен пройти аутентифікацію і розблокувати iPhone одним з трьох способів: за допомогою Face ID, Touch ID або пароля.
Однак дослідники виявили, що захист Apple Pay можна обійти за допомогою вбудованої функції Express Transit, яка дозволяє провести переказ коштів з прив'язаною карти Visa без необхідності розблокувати пристрій. Функція Express Transit була введена в систему Apple Pay в 2019 році через незручну необхідності кожен раз розблокувати телефон для оплати за проїзд в тому ж громадському транспорті.
«У комбінації з картою Visa Це може бути корисним для обходу захисту заблокованого iPhone. Іншими словами, зловмисник може перевести будь-яку суму з рахунку жертви без необхідності розблокувати смартфон » , - пояснюють дослідники.
Для підтвердження своїх слів фахівці опублікували відео, на якому демонструється, як вони отримали платіж в розмірі 1000 фунтів стерлінгів з заблокованого iPhone, не знаючи від нього пароль.
Для цього вони використовували мобільний пристрій Proxmark, що виконував роль зчитувача карт, який взаємодіяв з iPhone уявної жертви і Android-пристроєм, що виконував роль терміналу оплати. Згідно з опублікованою інфографіку, метод фахівців працює за принципом «Людина посередині» (Man-in-the-Middle).
:extract_focal()/https%3A%2F%2F3dnews.ru%2Fassets%2Fexternal%2Fillustrations%2F2021%2F09%2F30%2F1050286%2Fsetup_applegwgg.jpg)
Коментарі
Дописати коментар
Олег Мічман в X: «Donations and support for media resources, bloggers, projects, and individuals. https://t.co/HPKsNRd4Uo https://t.co/R6NXVPK62M» / X
https://twitter.com/olukawy/status/1703876551505309973