В apple pay знайшли вразливість, яка дозволяє вкрасти будь-яку суму з прив’язаної картки visa

19

Дослідники з британських університетів бірмінгема і суррея виявили вразливість в безконтактній системі платежів apple pay, що дозволяє зняти будь-яку суму грошей з прив’язаної до неї банківської карти без необхідності розблокувати iphone. Експеримент підтвердив, що метод працює тільки з банківськими картами visa.

Джерело зображення: getty images

Особливість системи apple pay полягає в тому, що вона підтверджує транзакцію тільки за певних умов. Щоб платіж пройшов, власник смартфона повинен пройти аутентифікацію і розблокувати iphone одним з трьох способів: за допомогою face id, touch id або пароля.

Проте дослідники виявили, що захист apple pay можна обійти за допомогою вбудованої функції express transit, яка дозволяє провести переказ коштів з прив’язаної картки visa без необхідності розблокувати пристрій. Функція express transit була введена в систему apple pay в 2019 році через незручну необхідність щоразу розблокувати телефон для оплати за проїзд в тому ж громадському транспорті.

” у комбінації з карткою visa цю функцію можна використовувати для обходу захисту заблокованого iphone. Іншими словами, зловмисник може перевести будь — яку суму з рахунку жертви без необхідності розблокувати смартфон», – пояснюють дослідники.

Для підтвердження своїх слів фахівці опублікували відео, на якому демонструється, як вони отримали платіж у розмірі 1000 фунтів стерлінгів із заблокованого iphone, не знаючи від нього пароль.

Для цього вони використовували мобільний пристрій proxmark, який виконував роль зчитувача карт, який взаємодіяв з iphone і android-пристроєм, що виконував роль терміналу оплати. Згідно з опублікованою інфографікою, метод фахівців працює за принципом «людина посередині» (man-in-the-middle).

Експерти відзначають, що на сьогоднішній день ця вразливість все ще актуальна, тому користувачам apple pay з картами visa безумовно варто враховувати цю особливість.

” наші обговорення з apple і visa показали, що, коли обидві сторони в галузі частково винні в події, жодна з них не бажає брати на себе відповідальність і впроваджувати зміни, залишаючи користувачів уразливими на невизначений термін», — прокоментувала фахівець андреа раду (andreea radu) з університету бірмінгема.