В Apple Pay знайшли уразливість, яка дозволяє вкрасти будь-яку суму з прив'язаною карти Visa

Експерти відзначають, що на сьогоднішній день ця вразливість все ще актуальна, тому користувачам Apple Pay з картами Visa безперечно варто враховувати цю особливість.

«Наші обговорення з Apple і Visa показали, що, коли обидві сторони в галузі частково винні в події, жодна з них не бажає брати на себе відповідальність і впроваджувати зміни, залишаючи користувачів уразливими на невизначений термін» , - прокоментувала фахівець Андреа Раду (Andreea Radu) з університету Бірмінгема.


Автор:
 
Николай Хижняк 
3DNews
хв

Дослідники з британських університетів Бірмінгема і Суррея виявили уразливість в безконтактної системі платежів Apple Pay, що дозволяє зняти будь-яку суму грошей з прив'язаною до неї банківської карти без необхідності розблокувати iPhone. Експеримент підтвердив, що метод працює тільки з банківськими картами Visa.

Джерело зображення: Getty Images
Джерело зображення: Getty Images

Джерело зображення: Getty Images

Особливість системи Apple Pay полягає в тому, що вона підтверджує транзакцію тільки при певних умовах. Щоб платіж пройшов, власник смартфона повинен пройти аутентифікацію і розблокувати iPhone одним з трьох способів: за допомогою Face ID, Touch ID або пароля.

Однак дослідники виявили, що захист Apple Pay можна обійти за допомогою вбудованої функції Express Transit, яка дозволяє провести переказ коштів з прив'язаною карти Visa без необхідності розблокувати пристрій. Функція Express Transit була введена в систему Apple Pay в 2019 році через незручну необхідності кожен раз розблокувати телефон для оплати за проїзд в тому ж громадському транспорті.

«У комбінації з картою Visa Це може бути корисним для обходу захисту заблокованого iPhone. Іншими словами, зловмисник може перевести будь-яку суму з рахунку жертви без необхідності розблокувати смартфон » , - пояснюють дослідники.

Для підтвердження своїх слів фахівці опублікували відео, на якому демонструється, як вони отримали платіж в розмірі 1000 фунтів стерлінгів з заблокованого iPhone, не знаючи від нього пароль.

Для цього вони використовували мобільний пристрій Proxmark, що виконував роль зчитувача карт, який взаємодіяв з iPhone уявної жертви і Android-пристроєм, що виконував роль терміналу оплати. Згідно з опублікованою інфографіку, метод фахівців працює за принципом «Людина посередині» (Man-in-the-Middle).


Просмотры:

Коментарі

Популярні публікації