Исследователи обнаружили недостаток в том, как функция Apple Express Transit работает с платежными картами Visa, что может позволить хакерам снимать деньги с ваших учетных записей Visa, созданных в Apple Pay, даже если ваш iPhone заблокирован.
Согласно BBC , исследователи из факультетов компьютерных наук университетов Бирмингема и Суррея смогли совершить бесконтактный платеж Visa в размере 1000 фунтов стерлингов от заблокированный iPhone без авторизации владельца устройства.
Проблема, которая, по-видимому, возникает именно с картами Visa, связана с Apple Pay Express Transit, функцией, которую Apple представила в iOS 12, которая позволяет совершать быстрые бесконтактные платежи с iPhone или Apple. Смотрите, не разблокируя устройство или даже не открывая вручную конкретную платежную карту.
Вместо этого пользователи назначают один из своих способов оплаты, который будет использоваться специально для экспресс-транзита, в настройках своего кошелька iPhone и Apple Pay. Когда iPhone или Apple Watch машут рядом с терминалом оплаты общественного транспорта, соответствующий тариф автоматически списывается с этой платежной карты без необходимости авторизации.
Понятно, что это очень полезная функция для загруженных пассажиров, и она была внедрен в городах от Лондона до Нью-Йорка, где пользователи iPhone и Apple Watch могут просто и быстро коснуться своих устройств, чтобы оплатить проезд, а затем сразу же продолжить движение.
Хотя Express Transit не требует авторизации Что касается платежей, система также должна использоваться только для обработки небольших транзакций, типичных для транзитных тарифов. К сожалению, похоже, что Apple полагается на платежные системы для обеспечения необходимых мер по борьбе с мошенничеством, и похоже, что Visa может не справиться с этой задачей.
«Проблема с системой Visa»
Согласно сообщению BBC, представитель Apple вернул проблему на плечи Visa, заявив, что это «проблема с системой Visa, ”И не совсем проблема Apple.
Хотя вы можете подумать, что Apple должна взять на себя определенную ответственность за соблюдение ограничений на платежи для таких функций, как Express Transit, справедливо также сказать, что это не совсем ее работа в этом контексте и в Фактически, его соглашения с Visa, Mastercard и другими могут даже препятствовать участию Apple в авторизации транзакций, поскольку это исключительно их ответственность.
Роль Apple-просто передать информацию в платежную сеть и позволить им разобраться с ней.
Поскольку эта проблема характерна только для Visa-исследователи протестировали тот же сценарий с Mastercard, но «обнаружили, что способ ее защиты предотвращает атаку», и другие источники указали, что другие платежные сети, такие как American Express, имеют аналогичные средства защиты.
Исследователи также отметили, что они почти год назад обратилась в Apple и Visa с этим вопросом, и, хотя у них состоялись «полезные» разговоры, проблема остается нерешенной.
В ответ на запрос BBC Visa преуменьшила значение проблемы, заявив, что эта атака была «Непрактично», поскольку для этого требуется специализированное оборудование и очень тесный контакт с iPhone или Apple Watch потенциальной жертвы.
Карты Visa, подключенные к Apple Pay Express Transit, безопасны, и держатели карт должны продолжать использовать их с уверенностью. Варианты схем бесконтактного мошенничества изучались в лабораторных условиях более десяти лет и оказались непрактичными для масштабного внедрения в реальном мире.
Visa
Представитель Apple в основном предположил, что это действительно до Visa решить, является ли это проблемой или нет, добавив, что политика нулевой ответственности компании в любом случае защитит ее держателей карт от таких несанкционированных платежей.
Мы очень серьезно относимся к любой угрозе безопасности пользователей. шутки в сторону. Это вызывает беспокойство у системы Visa, но Visa не считает, что подобный вид мошенничества может иметь место в реальном мире, учитывая наличие нескольких уровней безопасности. В том маловероятном случае несанкционированного платежа Visa дала понять, что их держатели карт защищены политикой нулевой ответственности Visa.
Apple
Как это работает
Команда исследователей продемонстрировала атаку, сняв деньги с их собственных счетов, используя специально модифицированное оборудование, которое обманом заставляет iPhone думать, что он обращается к транспортной платежной системе.
Хотя группа, естественно, не вдавалась в подробности, они все же сказали, что все, что требуется,-это «небольшой коммерчески доступный элемент радиооборудования» и телефон Android с собственным приложением.
Смартфон Android передает информацию с iPhone на другой терминал бесконтактных платежей, который может быть как в любом розничном магазине, так и под контролем самих преступников.
По сути, здесь происходит то, что, поскольку iPhone считает, что он обращается к законному терминалу оплаты транзита, он отказывается от учетных данных Visa, не будучи разблокированным. Эта информация фиксируется и «воспроизводится» в законном платежном терминале, который может быть настроен на взимание любой суммы, которую решат злоумышленники.
Телефон и платежный терминал злоумышленника, используемые для авторизации транзакции, также не должны находиться рядом с iPhone жертвы, что потенциально может значительно затруднить отслеживание источника атаки.
iPhone может находиться на другом континенте, пока есть подключение к Интернету.
Д-р Иоана Буреану, Университет Суррея
Несмотря на то, что Visa настаивает на том, что Атака непрактична, ведущий исследователь доктор Андрея Раду говорит, что сложные атаки, которые работают в лаборатории, в конечном итоге используются преступниками, особенно если есть потенциал для большой выгоды.
В нем есть некоторая техническая сложность, но я чувствую, что от атаки будет достаточно много награды. Через несколько лет это может стать настоящей проблемой.
Андреа Раду, Университет Бирмингема
Как защитить себя
Чтобы было ясно, исследователи продемонстрировали эту атаку только в лабораторных условиях, и нет никаких доказательств того, что это в настоящее время кем-либо эксплуатируется.
Это не сильно отличается от атак с использованием бесконтактных кредитных карт, о которых известно уже более десяти лет, за исключением, конечно, того факта, что одно из преимуществ Apple Pay в том, что он должен быть более безопасным.
Кроме того, физическая бесконтактная карта может быть помещена в кошелек с защитой от RFID , но на самом деле это не вариант для iPhone или Apple Watch, которые также с большей вероятностью будут использоваться на открытом воздухе, а не спрятаны в кармане или сумочке.
К счастью, если вы обеспокоены тем, что можете стать жертвой этого, есть очень простой способ защитить себя-просто не используйте карту Visa для экспресс-транзита. Вот как это проверить:
Откройте приложение Настройки на своем iPhone. Прокрутите вниз и нажмите Кошелек и Apple Pay . В разделе «Транспортные карты» нажмите Экспресс. Транспортная карта . Рядом с картой, которую вы в настоящее время используете для экспресс-транзита, появится флажок. Нажмите, чтобы выбрать альтернативную карту, или нажмите «Нет», чтобы полностью отключить экспресс-транзит.
Если у вас Apple Watch, вам также нужно будет проверить это, поскольку они не привязаны к настройке Express Transit на вашем iPhone:
Откройте приложение Watch на своем iPhone.. Прокрутите вниз и нажмите Кошелек и Apple Pay . В разделе «Транспортные карты» нажмите Экспресс-карта . Рядом с картой, которую вы в настоящее время используете для экспресс-транзита, появится флажок. Нажмите, чтобы выбрать альтернативную карту, или нажмите «Нет», чтобы полностью отключить экспресс-транзит.
Также нет необходимости включать экспресс-транзит, если вы не живете в городе, где он доступен, и регулярно пользуетесь транспортной системой этого города. В этом случае выбор «Нет» является наиболее безопасным вариантом.