Исследователи кибербезопасности обнаружили уязвимость в сервисе Apple Pay, которую хакеры могут использовать для осуществления несанкционированных платежей с карты Visa, привязанной в кошельке устройства, к системе Express Transit (Express Travel).
Как отчеты группа ученых из Университета Бирмингема и Университета Суррея:
«Хакеру не требуется помощь со стороны приемника карты; ему просто нужно достать сам айфон, пока он включен.Экспресс-путешествие — это функционал, который позволяет пользователям iPhone и Apple Watch совершать быстрые бесконтактные платежи за проезд в общественном транспорте без необходимости разблокировать устройство, запускать приложение или даже проходить верификацию с помощью Face ID, Touch ID или ввода пароля.Транзакции также можно совершать с устройства, находящегося, например, в рюкзаке владельца.
Разумеется, без его ведома.
В то же время внутренние системы обнаружения мошенничества оказались неэффективными во время наших тестовых платежей».
повторение атак и ретрансляционные атаки (реле-атака), предполагающая обход экрана блокировки и проведение нелегального платежа через любой EMV-ридер, возможна только в связке с системами Apple Pay и Visa. То есть карты Mastercard в Apple Pay или карты Visa в Samsung Pay не подвергаются риску.
Эти атаки основаны на имитации транзакции, предположительно проходящей через электронный турникет. Они реализуются с помощью устройства Proxmark, выполняющего роль считывателя EMV, которое принимает сигнал от целевого iPhone и передает его через Android-приложение, эмулирующее карту, на сторонний платежный терминал злоумышленника.
Ключом здесь является уникальный код, называемый Magic Bytes, который передается турникетом для разблокировки Apple Pay. Это создает сценарий, в котором, повторяя эту последовательность байтов, устройство Apple обманом авторизует мошенническую транзакцию, как если бы она была инициирована турникетом.
На самом деле процесс запускается через терминал бесконтактной оплаты, контролируемый злоумышленником.
Считыватель EMV также вводит в заблуждение, думая, что пользователь прошел аутентификацию на устройстве, что позволяет совершать неограниченные платежи без ведома владельца iPhone. Исследователи сообщают, что и Apple, и Visa были уведомлены об этой уязвимости в октябре 2020 года и мае 2021 года соответственно, и добавляют: «Обе стороны признают серьезность этой уязвимости, но не могут договориться о том, кто из них должен ее устранить.
" В заявление Для BBC представители Visa называют такой тип атаки «непрактичным»:
«Различные варианты мошеннических схем изучались в лаборатории более десяти лет, доказывая, что они непрактичны для широкого использования в реальном мире».В свою очередь представитель Apple прокомментировал ситуацию следующим образом:
«Это проблема со стороны Visa, но они не верят, что подобная уязвимость действительно может быть использована, учитывая несколько уровней безопасности».
Теги: #ruvds_news #информационная безопасность #уязвимости #Apple Pay #Разработка мобильных приложений #Смартфоны
-
Будете Ли Вы В Восторге От Xsitepro?
19 Oct, 24 -
Skype Дарит Студентам 60 Бесплатных Минут
19 Oct, 24 -
О Доменах И Машинах
19 Oct, 24
