heroverwegen

Onderzoekers hebben een fout ontdekt in de manier waarop Apple’s Express Transit-functie werkt met Visa-betaalkaarten, waardoor hackers geld kunnen afschrijven op uw Visa-accounts die zijn ingesteld in Apple Pay, zelfs als uw iPhone is vergrendeld.

Volgens de BBC, konden onderzoekers van de Computer Science-afdelingen van de universiteiten van Birmingham en Surrey een contactloze Visa-betaling van £ 1.000 doen van een vergrendelde iPhone, zonder enige toestemming van de eigenaar van het apparaat.

Het probleem, dat zich specifiek lijkt voor te doen met Visa-kaarten, heeft te maken met Apple Pay Express Transit, een functie die Apple in iOS 12 heeft onthuld en waarmee je snel contactloos kunt betalen vanaf een iPhone of een Apple Kijk zonder uw apparaat te ontgrendelen of zelfs handmatig een specifieke betaalkaart te openen.

In plaats daarvan wijzen gebruikers in hun iPhone Wallet-en Apple Pay-instellingen een van hun betaalmethoden aan die specifiek voor Express Transit moet worden gebruikt. Wanneer er met een iPhone of Apple Watch wordt gezwaaid in de buurt van een transitbetaalterminal, wordt het juiste tarief automatisch van die betaalkaart afgeschreven zonder dat hiervoor autorisatie nodig is.

Het is begrijpelijkerwijs een zeer handige functie voor drukke forenzen, en het is uitgerold in steden van Londen tot New York, waar iPhone-en Apple Watch-gebruikers gewoon snel en gemakkelijk op hun apparaten kunnen tikken om hun tarieven te betalen en dan meteen verder kunnen gaan.

Terwijl Express Transit geen autorisatie vereist voor betalingen is het systeem ook bedoeld om alleen kleinere transacties af te handelen-transacties die typerend zijn voor een transittarief. Helaas lijkt het erop dat Apple vertrouwt op de betalingsverwerkers om de nodige maatregelen tegen fraude te nemen, en het lijkt erop dat Visa de uitdaging niet aankan.

‘Een probleem met een Visa-systeem’

Volgens het BBC-rapport rolde een woordvoerder van Apple het probleem terug op de schouders van Visa en zei dat het”een probleem was met een Visa-systeem, ” en niet echt het probleem van Apple.

Hoewel je misschien denkt dat Apple enige verantwoordelijkheid zou moeten nemen voor het afdwingen van betalingslimieten voor functies zoals Express Transit, is het ook eerlijk om te zeggen dat dit niet echt zijn taak is in deze context, en in zijn overeenkomsten met Visa, Mastercard en anderen kunnen zelfs voorkomen dat Apple betrokken is bij het autoriseren van transacties, aangezien dat uitsluitend hun verantwoordelijkheid is.

De rol van Apple is simpelweg om de informatie door te geven aan het betalingsnetwerk en hen ermee te laten omgaan.

Aangezien dit probleem specifiek is voor Visa-onderzoekers testte hetzelfde scenario met Mastercard, maar”vond dat de manier waarop de beveiliging werkt de aanval heeft voorkomen”, en andere bronnen hebben aangegeven dat andere betalingsnetwerken zoals American Express soortgelijke beveiligingen hebben.

De onderzoekers merkten ook op dat ze benaderde zowel Apple als Visa bijna een jaar geleden met deze zorgen, en hoewel ze”nuttige”gesprekken voerden, bleef het probleem niet opgelost.

Toen de BBC contact opnam, bagatelliseerde Visa het probleem en zei dat deze aanval was”onpraktisch”, omdat het enigszins gespecialiseerde apparatuur vereist en zeer nauw contact met de iPhone of Apple Watch van een potentieel slachtoffer.

Visa-kaarten die zijn aangesloten op Apple Pay Express Transit zijn veilig en kaarthouders moeten ze met vertrouwen blijven gebruiken. Variaties van contactloze fraudeschema’s zijn al meer dan tien jaar in laboratoriumomgevingen bestudeerd en zijn onpraktisch gebleken om in de echte wereld op grote schaal uit te voeren.

Visa

Een woordvoerder van Apple suggereerde in feite dat het Het is echt aan Visa om te beslissen of dit een probleem is of niet, en voegde eraan toe dat het nul-aansprakelijkheidsbeleid van het bedrijf zijn kaarthouders sowieso zou beschermen tegen dergelijke ongeautoriseerde betalingen.

We nemen elke bedreiging voor de veiligheid van gebruikers zeer serieus ernstig. Dit is een punt van zorg met een Visa-systeem, maar Visa gelooft niet dat dit soort fraude waarschijnlijk in de echte wereld zal plaatsvinden, gezien de meerdere beveiligingslagen die aanwezig zijn. In het onwaarschijnlijke geval dat er een ongeautoriseerde betaling plaatsvindt, heeft Visa duidelijk gemaakt dat hun kaarthouders worden beschermd door Visa’s nul-aansprakelijkheidsbeleid.

Apple

Hoe het werkt

De team van onderzoekers demonstreerde de aanval door geld van hun eigen rekeningen te nemen, met behulp van speciaal aangepaste apparatuur die de iPhone laat denken dat hij met een transitbetalingssysteem praat.

Hoewel de groep natuurlijk niet op details inging, zeiden ze dat alles wat nodig is een”klein commercieel verkrijgbaar radioapparaat”en een Android-telefoon met een aangepaste applicatie is.

De Android-smartphone geeft de informatie van de iPhone door aan een andere contactloze betaalterminal, bijvoorbeeld in een winkel of een die de criminelen zelf beheren.

Wat hier in wezen gebeurt, is dat aangezien de iPhone denkt dat hij met een legitieme transitbetaalterminal praat, hij de Visa-inloggegevens opgeeft zonder te worden ontgrendeld. Die informatie wordt vastgelegd en”opnieuw afgespeeld”in een legitieme betaalterminal, die kan worden ingesteld om elk bedrag in rekening te brengen dat de aanvallers besluiten.

De telefoon en betaalterminal van de aanvaller die worden gebruikt om de transactie te autoriseren, hoeven ook niet in de buurt van de iPhone van het slachtoffer te zijn, wat het mogelijk veel moeilijker zou kunnen maken om de bron van de aanval op te sporen.

Het kan vanaf de iPhone op een ander continent zijn, zolang er een internetverbinding is.

Dr Ioana Boureanu, Universiteit van Surrey

Ondanks Visa’s aandrang dat de aanval onpraktisch is, zegt hoofdonderzoeker Dr. Andreea Radu dat complexe aanvallen die in het laboratorium werken, uiteindelijk door criminelen worden gebruikt, vooral als er een grote uitbetaling mogelijk is.

Het heeft wat technische complexiteit-maar ik denk dat de beloningen van het doen van de aanval behoorlijk hoog zijn. Over een paar jaar kunnen deze problemen een echt probleem worden.

Dr. Andreea Radu, Universiteit van Birmingham

Hoe u uzelf kunt beschermen

Voor alle duidelijkheid: de onderzoekers hebben deze aanval alleen in een laboratoriumomgeving aangetoond en er is geen bewijs dat het momenteel door wie dan ook wordt uitgebuit.

Dit verschilt niet veel van de contactloze creditcardaanvallen die al meer dan tien jaar algemeen bekend zijn, behalve natuurlijk dat een van de verkoopargumenten van Apple Pay is dat het veiliger zou moeten zijn.

Verder kan een fysieke contactloze kaart in een RFID-afgeschermde portemonnee, maar dat is niet echt een optie voor een iPhone of een Apple Watch, die beide ook eerder in de open lucht worden gebruikt dan verborgen in je zak of tas.

Gelukkig, als u zich zorgen maakt dat u hier het slachtoffer van kunt worden, is er een heel eenvoudige manier om uzelf te beschermen: vermijd het gebruik van een Visa-kaart voor Express Transit. U kunt dat als volgt controleren:

Open de app Instellingen op uw iPhone. Scroll naar beneden en tik op Wallet & Apple Pay. Tik onder Transitkaarten op Express Transitkaart. Er verschijnt een selectievakje naast de kaart die u momenteel gebruikt voor Express Transit. Tik om een ​​alternatieve kaart te selecteren of tik op Geen om Express Transit volledig uit te schakelen.

Als je een Apple Watch hebt, moet je deze ook controleren, aangezien deze niet is gekoppeld aan de Express Transit-instelling op je iPhone:

Open de app Watch op je iPhone.Scroll omlaag en tik op Wallet & Apple Pay. Tik onder Transitkaarten op Express Transit Card. Er verschijnt een selectievakje naast de kaart die u momenteel gebruikt voor Express Transit. Tik om een ​​alternatieve kaart te selecteren of tik op Geen om Express Transit volledig uit te schakelen.

Het is ook niet nodig om Express Transit te hebben ingeschakeld, tenzij u in een stad woont waar het beschikbaar is en regelmatig het openbaar vervoersysteem van die stad gebruikt. In dit geval is het selecteren van’Geen’de veiligste optie.

Categories: IT Info