Не очень понятно, как квалифицировать данную недоработку — как уязвимость или как стандартную функциональность платежной системы. При выполнении некоторых условий списание средств с Apple Pay намеренно не требует разблокировки телефона. Например, при оплате на транспорте или в других условиях, где требуется быстрая авторизация, а соединение с интернетом может быть нестабильным. По идее, такая транзакция, как и оплата картой без подтверждения, должна иметь ограничение по сумме платежа. По факту же авторам исследования удалось обойти и это ограничение: в видеоролике на сайте проекта они демонстрируют снятие тысячи фунтов с заблокированного айфона.
Система безопасности платежей без авторизации полагается на невозможность изменения идентификаторов на карте или телефоне. Эту «проблему» удалось обойти при помощи двух Android-смартфонов с NFC-ридером и модифицированного ПО. Один из них «представляется» айфону тем самым транспортным платежным терминалом. Данные передаются на другой смартфон, который прикладывается уже к настоящему платежному терминалу. В процессе передачи данных меняется последовательность бит CTQ (Card Transaction Qualifiers), сообщающая терминалу о наличии авторизации со стороны пользователя.
Патча для уязвимости пока нет, хотя исследователи сообщили о своих находках в Apple и Visa соответственно в октябре 2020 и мае 2021 года. Пока проблема не решена, авторы исследования не рекомендуют привязывать карты Visa к Apple Pay. Звучит как радикальное решение, но на самом деле дыра в системе платежей с телефона представляет серьезную опасность. Даже не обязательно в сценарии, когда к вам подкрадывается злоумышленник со сканером, а попросту если телефон украдут. Впрочем, по мнению Visa, в реальных условиях атака не может быть проведена. Исследователи попробовали провести такую же атаку на телефоны с системой Samsung Pay, но столкнулись с более качественной защитой. Там также существует возможность провести платеж на турникете метро без авторизации. Но сумма платежа всегда нулевая, а реальное списание происходит позже исходя из параметров авторизации — где приложили и сколько должен стоить проезд.
Что еще произошло:
Исследование «Лаборатории Касперского»
Исследователи
Интересная
Криптобиржа Coinbase
В
Исследователь