Badacze odkryli wadę w działaniu funkcji Express Transit firmy Apple z kartami płatniczymi Visa, która może umożliwić hakerom obciążanie kontami Visa skonfigurowanymi w Apple Pay nawet wtedy, gdy iPhone jest zablokowany.
Zgodnie z BBC, naukowcy z wydziałów informatyki uniwersytetów Birmingham i Surrey byli w stanie dokonać płatności zbliżeniowej Visa w wysokości 1000 funtów od zablokowany iPhone, bez wymaganej autoryzacji ze strony właściciela urządzenia.
Problem, który wydaje się występować w szczególności w przypadku kart Visa, ma związek z Apple Pay Express Transit, funkcją udostępnioną przez Apple w iOS 12, która umożliwia szybkie dokonywanie płatności zbliżeniowych z iPhone’a lub Apple’a Oglądaj bez odblokowywania urządzenia, a nawet ręcznego przywoływania konkretnej karty płatniczej.
Zamiast tego użytkownicy określają jedną ze swoich metod płatności, która będzie używana konkretnie w przypadku Express Transit w ustawieniach portfela iPhone i Apple Pay. Kiedy iPhone lub Apple Watch jest machany w pobliżu terminala płatności tranzytowych, odpowiednia opłata jest automatycznie potrącana z tej karty płatniczej bez potrzeby autoryzacji.
Jest to zrozumiałe bardzo przydatna funkcja dla zapracowanych osób dojeżdżających do pracy i została została wprowadzona w miastach od Londynu po Nowy Jork, gdzie użytkownicy iPhone’a i Apple Watch mogą po prostu szybko i łatwo dotknąć swoich urządzeń, aby zapłacić za przejazd, a następnie od razu przejść.
Podczas gdy Express Transit nie wymaga autoryzacji w przypadku płatności system ma również służyć tylko do obsługi mniejszych transakcji — takich, które byłyby typowe dla taryfy tranzytowej. Niestety, wydaje się, że Apple polega na procesorach płatności, aby zapewnić niezbędne środki zapobiegające oszustwom i wygląda na to, że Visa może nie sprostać wyzwaniu.
„Obawa o system Visa”
Według raportu BBC, rzecznik Apple przerzucił problem z powrotem na barki Visa, mówiąc, że to „problem związany z systemem Visa, ” i nie jest to naprawdę problem Apple.
Chociaż możesz pomyśleć, że Apple powinien wziąć na siebie pewną odpowiedzialność za egzekwowanie limitów płatności w funkcjach takich jak Express Transit, można również uczciwie powiedzieć, że nie jest to jego zadanie w tym kontekście, a w fakt, że jej umowy z Visa, Mastercard i innymi mogą nawet uniemożliwić Apple udział w autoryzacji transakcji, ponieważ jest to wyłącznie ich odpowiedzialność.
Rola Apple polega po prostu na przekazywaniu informacji do sieci płatniczej i pozwalaniu im się nią zająć.
Ponieważ problem ten jest specyficzny dla Visa — naukowcy przetestowali ten sam scenariusz z Mastercard, ale „stwierdzili, że sposób, w jaki działa jej bezpieczeństwo, zapobiega atakowi”, a inne źródła wskazują, że inne sieci płatnicze, takie jak American Express, mają podobne zabezpieczenia.
Naukowcy również zauważyli, że zwróciła się zarówno do Apple, jak i Visa prawie rok temu z tymi obawami, i chociaż prowadziły „użyteczne” rozmowy, problem pozostaje nierozwiązany.
Kiedy skontaktowała się z BBC, Visa bagatelizowała problem, mówiąc, że ten atak był „niepraktyczne”, ponieważ wymaga nieco specjalistycznego sprzętu i bardzo bliskiego kontaktu z iPhonem lub Apple Watch potencjalnej ofiary.
Karty Visa połączone z usługą Apple Pay Express Transit są bezpieczne, a posiadacze kart powinni nadal z nich bezpiecznie korzystać. Od ponad dziesięciu lat w laboratoriach badano różne warianty oszustw zbliżeniowych i okazały się one niepraktyczne w realizacji na dużą skalę w rzeczywistym świecie.
Visa
Rzecznik Apple w zasadzie zasugerował, że jest to naprawdę zależy od Visa, aby zdecydować, czy jest to problem, czy nie, dodając, że polityka zerowej odpowiedzialności firmy i tak chroniłaby jej posiadaczy kart przed takimi nieautoryzowanymi płatnościami.
Bardzo traktujemy wszelkie zagrożenia dla bezpieczeństwa użytkowników poważnie. Jest to problem związany z systemem Visa, ale Visa nie wierzy, że tego rodzaju oszustwa mogą mieć miejsce w prawdziwym świecie, biorąc pod uwagę wiele warstw zabezpieczeń. W mało prawdopodobnym przypadku, gdy nastąpi nieautoryzowana płatność, Visa dała jasno do zrozumienia, że posiadacze kart są chronieni polityką zerowej odpowiedzialności Visa.
Apple
Jak to działa
Zespół naukowców zademonstrował atak, pobierając pieniądze z własnych kont, używając specjalnie zmodyfikowanego sprzętu, który sprawia, że iPhone myśli, że rozmawia z systemem płatności tranzytowych.
Chociaż grupa naturalnie nie zagłębiała się w konkrety, powiedzieli, że wszystko, czego potrzeba, to „niewielki dostępny na rynku sprzęt radiowy” i telefon z Androidem z niestandardową aplikacją.
Smartfon z Androidem przekazuje informacje z iPhone’a do innego terminala płatności zbliżeniowych, którym może być terminal w dowolnym sklepie detalicznym lub taki, który kontrolują sami przestępcy.
Zasadniczo dzieje się tak, że ponieważ iPhone uważa, że rozmawia z legalnym terminalem płatności tranzytowych, rezygnuje z danych uwierzytelniających Visa bez odblokowania. Informacje te są przechwytywane i „odtwarzane” w legalnym terminalu płatniczym, który można ustawić tak, aby pobierał dowolną kwotę, o której zdecydują się atakujący.
Telefon i terminal płatniczy osoby atakującej używane do autoryzacji transakcji również nie muszą znajdować się w pobliżu iPhone’a ofiary, co potencjalnie może znacznie utrudnić wyśledzenie źródła ataku.
Może być na innym kontynencie niż iPhone, o ile istnieje połączenie internetowe.
Dr Ioana Boureanu, University of Surrey
Pomimo nalegań Visa, że atak jest niepraktyczny, główna badaczka, dr Andreea Radu, mówi, że złożone ataki, które działają w laboratorium, są wykorzystywane przez przestępców, zwłaszcza jeśli istnieje możliwość uzyskania dużej korzyści.
Ma pewną złożoność techniczną – ale uważam, że korzyści z wykonania ataku są dość wysokie. Za kilka lat może to stać się prawdziwym problemem.
Dr. Andreea Radu, University of Birmingham
Jak się chronić
Aby było jasne, naukowcy zademonstrowali ten atak tylko w środowisku laboratoryjnym i nie ma dowodów na to, że obecnie przez kogokolwiek wykorzystywane.
Nie różni się to aż tak bardzo od ataków zbliżeniowych kart kredytowych, które są powszechnie znane od ponad dekady, oczywiście z wyjątkiem faktu, że jeden z punktów sprzedaży Apple Pay jest to, że ma być bezpieczniejsza.
Ponadto, fizyczną kartę zbliżeniową można umieścić w portfelu chronionym przez RFID, ale tak naprawdę nie jest to opcja dla iPhone’a lub Apple Watch, z których oba są również bardziej prawdopodobne, że będą używane na otwartej przestrzeni, a nie ukryte w kieszeni lub torebce.
Na szczęście, jeśli obawiasz się, że możesz paść ofiarą tego, istnieje bardzo prosty sposób, aby się zabezpieczyć – po prostu unikaj używania karty Visa do Express Transit. Oto jak to sprawdzić:
Otwórz aplikację Ustawienia na swoim iPhonie. Przewiń w dół i dotknij Wallet i Apple Pay. W sekcji Karty transportu publicznego kliknij Ekspres Karta transportu publicznego. Obok karty, której obecnie używasz do obsługi ekspresowego transportu publicznego, pojawi się pole wyboru.Dotknij, aby wybrać alternatywną kartę, lub dotknij opcji Brak, aby całkowicie wyłączyć ekspresowy transport.
Jeśli masz zegarek Apple Watch, musisz to również sprawdzić, ponieważ nie jest on powiązany z ustawieniem Express Transit na iPhonie:
Otwórz aplikację Watch na iPhonie.Przewiń w dół i kliknij Wallet i Apple Pay. W sekcji Karty transportu publicznego kliknij Karta ekspresowa transportu publicznego. Obok karty, której obecnie używasz do obsługi ekspresowego transportu publicznego, pojawi się pole wyboru.Dotknij, aby wybrać alternatywną kartę, lub dotknij opcji Brak, aby całkowicie wyłączyć ekspresowy transport.
Nie ma również potrzeby włączania ekspresowego transportu publicznego, chyba że mieszkasz w mieście, w którym jest on dostępny i regularnie korzystasz z systemu transportu publicznego tego miasta. W takim przypadku wybranie „Brak” jest najbezpieczniejszą opcją.
