Badacze znaleźli luki w zabezpieczeniach Visy i Apple Pay. Mogą prowadzić do kradzieży

Masz podpiętą kartę Visa do iPhone’a? Lepiej uważaj. Możesz być narażony na kradzież pieniędzy z konta przez Apple Pay nawet wtedy, gdy Twój telefon jest zablokowany. Wszystko przez lukę w zabezpieczeniach.

Lukę odkryli naukowcy z University of Birmingham i University of Surrey. Twierdzą, że problem dotyczy kart Visa skonfigurowanych w trybie Express Transit na iPhone’ach. Express Transit to funkcja Apple Pay, która umożliwia osobom dojeżdżającym do pracy dokonywanie szybkich płatności zbliżeniowych bez odblokowywania telefonu (np. przy barierce biletowej metra czy na bramkach autostradowych). 

Okazuje się, że przeprowadzenie skutecznego ataku jest dość proste. Co więcej, nieautoryzowane transakcje mogą być dokonywane nawet wtedy, gdy smartfon znajduje się np. w bagażu ofiary. Albo i jeszcze dalej. „Terminal płatniczy może być na innym kontynencie niż iPhone, o ile istnieje połączenie z Internetem” – przekazała jedna z badaczek, dr Ioana Boureanu z University of Surrey.

ZOBACZ TEŻ: Wpadka na koniec Narodowego Spisu Powszechnego. GUS omyłkowo rozesłał e-maila z danymi 500 obywateli

Luki w zabezpieczeniach na iPhone’ach z podpiętą kartą Visa

Naukowcy, chcąc przeprowadzić taki atak, zrobili eksperyment na własnych kontach. Wszystko nagrali. Do przeprowadzenia testu posłużyły im: Proxmark – niewielki sprzęt radiowy, który działał jako emulator czytnika kart oraz telefon z Androidem i obsługą NFC, który był używany jako emulator karty do komunikacji z terminalem płatniczym.

Jak to wyglądało? W pobliżu iPhone’a umieszczony został Proxmark, który “oszukał” smartfona, by ten zidentyfikował go jako barierkę biletową. W tym samym czasie telefon z Androidem, na którym uruchomiono aplikację stworzoną przez badaczy, służył do przekazywania sygnałów z iPhone’a do terminala płatności zbliżeniowych. Ponieważ iPhone “myślał”, że płaci za bilet, nie trzeba było go odblokowywać. W ten sposób można było zrealizować transakcje o wartości 1000 GBP (ponad 5000 zł).

Naukowcy wykazali, że atakujący mogą nie tylko ominąć blokadę ekranu Apple Pay, ale także limit transakcji dla płatności zbliżeniowych. Co prawda atak był do tej pory tylko testowany przez badaczy i nie ma dowodów na to, że przestępcy wykorzystują tę lukę – lepiej być czujnym.

ZOBACZ TEŻ: Największa awaria Facebooka w historii. Co było przyczyną?

ZOBACZ TEŻ:  Wolves Summit: networking w służbie innowacji

Luka w zabezpieczeniach. Co na to Apple i Visa?

Badacze twierdzą też, że zgłaszali lukę zarówno w Apple, jak i Visie. Z każdą z firm odbyli rozmowy, ale problem nie został rozwiązany. BBC podaje wypowiedź przedstawicieli Visy, z której wynika, że firma traktuje wszystkie zagrożenia bezpieczeństwa poważnie, ale “karty Visa podłączone do Apple Pay Express Transit są bezpieczne, a posiadacze kart powinni nadal używać ich z zaufaniem”. Co więcej, “wariacje schematów [tego typu] oszustw były badane w warunkach laboratoryjnych przez ponad dekadę i okazały się niepraktyczne do wykonania na większą skalę”. A każdy, kto zgubił swój telefon, może użyć Apple’s iCloud, aby zablokować Apple Pay, a także może zaalarmować Visę i zablokować płatności.

Z kolei Apple przekazał BBC: “Bardzo poważnie traktujemy wszelkie zagrożenia bezpieczeństwa użytkowników. Jest to obawa związana z systemem Visa, ale Visa nie uważa, aby ten rodzaj oszustwa mógł mieć miejsce na większą skalę, biorąc pod uwagę wiele warstw zabezpieczeń”.

Ale dr Andreea Radu z University of Birmingham, który prowadził badania uważa, że ataki, do tej pory prowadzone tylko testowo, „w ciągu kilku lat mogą stać się prawdziwym problemem”.

baner

Zdjęcie główne pochodzi z unsplash.com. Źródło: BBC.

Zapraszamy do dyskusji

Patronujemy

 
 
More Stories
Tim Berners-Lee Inrupt
Twórca WWW walczy o bezpieczeństwo danych w sieci