В отличие от бесконтактных карт, здесь нет ограничений на транзакции Apple Pay. Кредит: Киичиро Сато.
Хакеры могут потратить тысячи фунтов на iPhone, воспользовавшись недостатком в работе системы бесконтактных платежей.
Исследователи из университетов Суррея и Бирмингема обнаружили, что карты Visa, связанные с сервисом Apple Pay на iPhone, могут быть использованы для кражи денег с использованием готового оборудования.
Исследователи заявили, что проблему могут легко решить Apple или Visa, но обе стороны отказались вносить исправления, несмотря на предупреждения об этом.
Многие крупные крупные банки используют дебетовые карты Visa, в то время как Barclaycard использует эту компанию для своих кредитных карт.
Взлом предполагает использование в iPhone режима «Экспресс-путешествие», который предназначен для использования в общественном транспорте.
Для совершения бесконтактных платежей с помощью iPhone обычно требуется, чтобы пользователи подтвердили транзакцию с помощью отпечатка пальца, распознавания лица или пароля, чтобы предотвратить использование потерянных или украденных iPhone для покупок.
Однако режим «Экспресс-поездка» не требует такой аутентификации, позволяя людям оплачивать проезд в общественном транспорте, просто касаясь телефона терминалом. Он используется в Великобритании на транспорте лондонской сети Oyster и в системе First Bus, которая работает в десятках городов.
Исследователи смогли использовать это, имитируя сигнал от терминала общественного транспорта, чтобы iPhone был готов к оплате. Затем получателя платежей «обманом» заставляют принять транзакцию.
Режим «Экспресс-поездка» упрощает пользование воротами на метро. Фото: Bloomberg.
В отличие от бесконтактных карт, которые ограничивают платежи в размере 45 фунтов стерлингов, на транзакции Apple Pay нет ограничений, то есть хакеры могут теоретически истощить банковский счет человека или лимит кредитной карты, просто украдив iPhone или тайком удерживая терминал до устройство в сумке или кармане. Исследователи смогли совершить платеж в размере 1000 фунтов стерлингов, используя заблокированный телефон.
Недостаток работает только с картами Visa в сервисе Apple Pay. Он не работает с картами Mastercard или American Express, которые предотвращают такие платежи с помощью дополнительного процесса аутентификации. Он также не работает с аналогичной службой оплаты общественного транспорта на телефонах Samsung, даже с картами Visa.
Режим Express Travel на iPhone должен быть подключен к определенной карте и должен быть активирован намеренно, чтобы затронуть только тех, кто включил эту функцию и подключил ее к карте Visa.
«Пользователям Apple Pay не следует жертвовать безопасностью ради удобства использования, но в настоящее время некоторые из них это делают», — сказала Иоана Буреану из Центра кибербезопасности Университета Суррея.
Андреа Раду из школы компьютерных наук Университета Бирмингема заявила, что это «наглядный пример функции, призванной постепенно облегчить жизнь, иметь неприятные последствия и отрицательно влиять на безопасность, что может иметь серьезные финансовые последствия для пользователей». Она сказала, что эту уязвимость трудно воспроизвести, но высокие награды означают, что у преступников может быть мотивация.
Представитель Visa сказал, что это открытие не означает, что люди находятся в опасности. «Карты Visa, подключенные к Apple Pay Express Transit, безопасны, и держатели карт должны продолжать использовать их с уверенностью», — заявили в компании.
«Варианты схем бесконтактного мошенничества изучались в лабораторных условиях более десяти лет и доказали свою непрактичность для масштабной реализации в реальном мире. Visa очень серьезно относится ко всем угрозам безопасности, и мы неустанно работаем над повышением безопасности платежей во всем мире. экосистема «.
Свежие комментарии