<> Tutkijat ovat havainneet virheen Applen Express Transit-ominaisuuden toiminnassa Visa-maksukorteilla, joiden avulla hakkerit voivat veloittaa rahaa Apple Paylla määritetyiltä Visa-tileiltäsi, vaikka iPhone on lukittu.
BBC , Birminghamin ja Surreyn yliopistojen tietojenkäsittelytieteen osastojen tutkijat pystyivät suorittamaan 1000 £: n kontaktittoman viisumimaksun lukittu iPhone ilman laitteen omistajan lupaa.
Ongelma, joka näyttää ilmenevän erityisesti Visa-korteilla, liittyy Apple Pay Express Transit-ominaisuuteen, jonka Apple esitteli iOS 12: ssa ja jonka avulla voit suorittaa nopeita kontaktittomia maksuja iPhonesta tai Applelta Katso ilman laitteen lukituksen avaamista tai edes manuaalisesti tietyn maksukortin näyttämistä.
Sen sijaan käyttäjät määrittävät yhden maksutavansa käytettäväksi nimenomaan Express Transit-palvelussa iPhone Wallet-ja Apple Pay-asetuksissaan. Kun iPhonea tai Apple Watchia heilutetaan lähellä maksupäätelaitetta, asianmukainen hinta vähennetään automaattisesti kyseiseltä maksukortilta ilman lupaa.
Se on ymmärrettävästi erittäin hyödyllinen ominaisuus kiireisille työmatkalaisille. jaettiin kaupungeissa Lontoosta New Yorkiin, jossa iPhone-ja Apple Watch-käyttäjät voivat vain nopeasti ja helposti napauttaa laitteitaan maksaakseen liput ja siirtyäkseen sitten heti eteenpäin.
Vaikka Express Transit ei vaadi lupaa maksujen osalta järjestelmää on myös tarkoitus käyttää vain pienempien tapahtumien käsittelyyn-sellaisiin, jotka ovat tyypillisiä kauttakulkuhinnoille. Valitettavasti näyttää siltä, että Apple luottaa maksujen käsittelijöihin tarjotessaan tarvittavat petostentorjuntatoimenpiteet, ja näyttää siltä, että Visa ei välttämättä vastaa haasteeseen.
”Huoli Visa-järjestelmästä”
BBC: n raportin mukaan Applen tiedottaja vei ongelman takaisin Visan harteille sanoen, että se oli ”ongelma Visa-järjestelmän kanssa, ”Eikä varsinaisesti Applen ongelma.
Vaikka saatat ajatella, että Applen pitäisi ottaa jonkin verran vastuuta maksurajojen noudattamisesta Express Transitin kaltaisille ominaisuuksille, on myös oikein sanoa, että se ei todellakaan ole sen tehtävä tässä yhteydessä ja Itse asiassa sen sopimukset Visan, Mastercardin ja muiden kanssa voivat jopa estää Applea osallistumasta tapahtumien hyväksymiseen, koska se on yksinomaan heidän vastuullaan.
Applen tehtävänä on välittää tiedot maksuverkolle ja antaa heidän käsitellä niitä.
Koska tämä ongelma koskee vain Visaa-tutkijat testannut samaa skenaariota Mastercardin kanssa, mutta”havainnut, että sen turvallisuustoiminnot estävät hyökkäyksen”, ja muut lähteet ovat osoittaneet, että muilla maksuverkoilla, kuten American Expressillä, on samanlainen suojaus.
Tutkijat totesivat myös, että lähestyi sekä Applea että Visaa lähes vuosi sitten näillä huolenaiheilla, ja vaikka he kävivät”hyödyllisiä”keskusteluja, ongelma on korjaamaton.
Kun BBC otti yhteyttä, Visa pienensi ongelmaa sanoen, että tämä hyökkäys oli”Epäkäytännöllinen”, koska se vaatii jonkin verran erikoislaitteita ja erittäin läheisen yhteyden mahdollisen uhrin iPhoneen tai Apple Watchiin.
Apple Pay Express Transitiin yhdistetyt Visa-kortit ovat suojattuja, ja kortinhaltijoiden tulee jatkaa niiden käyttämistä luottavaisin mielin. Kontaktittomien petosjärjestelmien muunnelmia on tutkittu laboratorioympäristössä yli vuosikymmenen ajan, ja ne ovat osoittautuneet epäkäytännöllisiksi toteuttaa todellisessa maailmassa.
Visa
Applen tiedottaja ehdotti periaatteessa, että Oikeastaan Visa voi päättää, onko tämä ongelma vai ei, ja lisää, että yrityksen nollavastuupolitiikka suojaisi kortinhaltijoita tällaisilta luvattomilta maksuilta.
Otamme kaikki uhat käyttäjien turvallisuudelle vakavasti. Tämä on huolenaihe Visa-järjestelmän kanssa, mutta Visa ei usko, että tällaista petosta todennäköisesti tapahtuu todellisessa maailmassa, kun otetaan huomioon useat suojakerrokset. Siinä epätodennäköisessä tapauksessa, että luvaton maksu tapahtuu, Visa on tehnyt selväksi, että heidän kortinhaltijansa on suojattu Visan nollavastuupolitiikalla.
Apple
Näin se toimii
Tutkijaryhmä osoitti hyökkäyksen ottamalla rahaa omilta tileiltään ja käyttämällä erityisesti muokattuja laitteita, jotka huijaavat iPhonen ajattelemaan, että se puhuu kauttakulkujärjestelmälle.
Vaikka ryhmä ei tietenkään perehtynyt yksityiskohtiin, he sanoivat, että tarvitaan vain”pieni kaupallisesti saatavilla oleva radiolaite”ja Android-puhelin, jossa on mukautettu sovellus.
Android-älypuhelin välittää tiedot iPhonesta toiseen kontaktittomaan maksupäätelaitteeseen, joka voi olla sellainen missä tahansa vähittäiskaupassa tai sellainen, jota rikolliset itse hallitsevat.
Pohjimmiltaan tässä tapahtuu se, että koska iPhone uskoo puhuvansa lailliselle kauttakulkumaksupäätteelle, se luopuu Visa-valtuuksista ilman lukitusta. Nämä tiedot kerätään ja”toistetaan”lailliseksi maksupäätteeksi, joka voidaan asettaa veloittamaan kaikki hyökkääjien päättämät summat.
Tapahtuman valtuuttamiseen käytetyn hyökkääjän puhelimen ja maksupäätteen ei myöskään tarvitse olla lähellä uhrin iPhonea, mikä voi mahdollisesti vaikeuttaa hyökkäyksen lähteen jäljittämistä.
Se voi olla toisella mantereella iPhonesta, kunhan on Internet-yhteys.
Tohtori Ioana Boureanu, Surreyn yliopisto
Huolimatta Visan vaatimuksesta, että hyökkäys on epäkäytännöllinen, johtava tutkija tohtori Andreea Radu sanoo, että rikolliset käyttävät lopulta laboratoriossa toimivia monimutkaisia hyökkäyksiä, varsinkin jos on olemassa suuri voitto.
Sillä on teknistä monimutkaisuutta-mutta mielestäni hyökkäyksestä saatavat edut ovat melko korkeat. Muutaman vuoden kuluttua näistä saattaa tulla todellinen ongelma.
Dr. Andreea Radu, Birminghamin yliopisto
Kuinka suojautua
Selvyyden vuoksi tutkijat ovat osoittaneet tämän hyökkäyksen vain laboratorioympäristössä, eikä ole todisteita siitä, että se olisi tällä hetkellä kenenkään hyväksikäytössä.
Tämä ei ole aivan eri asia kuin kontaktittomat luottokorttihyökkäykset, jotka ovat olleet yleisesti tiedossa jo yli vuosikymmenen ajan, paitsi tietysti se, että yksi Apple Payn myyntipisteistä että sen pitäisi olla turvallisempaa.
Lisäksi fyysinen kontaktiton kortti voidaan sijoittaa RFID-suojattuun lompakkoon , mutta se ei todellakaan ole vaihtoehto iPhonelle tai Apple Watchille, jotka molemmat ovat myös todennäköisemmin käytettyjä ulkona kuin piilossa taskussa tai kukkarossa.
Onneksi jos olet huolissasi siitä, että saatat joutua tämän uhriksi, on erittäin helppo tapa suojautua-vältä Visa-kortin käyttöä Express Transitissa. Tarkista näin:
Avaa Asetukset -sovellus iPhonellasi. Vieritä alas ja napauta Lompakko ja Apple Pay . Napauta Julkiskortit-kohdassa Nopea Liikennekortti . Valintaruutu tulee näkyviin Express Transitissa tällä hetkellä käyttämäsi kortin viereen. Valitse vaihtoehtoinen kortti napauttamalla tai poista Express Transit kokonaan käytöstä napauttamalla Ei mitään.
Jos sinulla on Apple Watch, sinun on myös tarkistettava tämä, koska se ei ole sidoksissa iPhonen Express Transit-asetukseen:
Avaa Watch -sovellus iPhonessa Selaa alaspäin ja napauta Lompakko ja Apple Pay . Napauta Julkiskortit-kohdassa Pikakuljetuskortti . Valintaruutu tulee näkyviin Express Transitissa tällä hetkellä käyttämäsi kortin viereen. Valitse vaihtoehtoinen kortti napauttamalla tai poista Express Transit kokonaan käytöstä napauttamalla Ei mitään.
Pikaliikennettä ei myöskään tarvitse ottaa käyttöön lainkaan, ellet asu kaupungissa, jossa se on käytettävissä, ja käytät säännöllisesti kyseisen kaupungin julkista liikennejärjestelmää. Tässä tapauksessa turvallisin vaihtoehto on Ei mitään.