Security Week 40: кража денег через Apple Pay

Security Week 40: кража денег через Apple Pay
29 сентября исследователи из университетов Бирмингема и Суррея показали способ снятия средств с телефонов Apple, на которых активирована функция Apple Pay с использованием карты Visa ( новость , сайт проекта, препринт научной работы). Важное дополнение: снятие средств не требует подтверждения пользователя путем разблокировки телефона, то есть можно инициировать мошенническую транзакцию без ведома владельца. Как и недавнее исследование из Швейцарии, атака предполагает передачу данных с телефона жертвы на платежный терминал через связку из двух устройств — приемника и передатчика, которые могут находиться на большом расстоянии друг от друга.


7eccc950b0dcb64fd7f1438fe48ab8e1.png


Не очень понятно, как квалифицировать данную недоработку — как уязвимость или как стандартную функциональность платежной системы. При выполнении некоторых условий списание средств с Apple Pay намеренно не требует разблокировки телефона. Например, при оплате на транспорте или в других условиях, где требуется быстрая авторизация, а соединение с интернетом может быть нестабильным. По идее, такая транзакция, как и оплата картой без подтверждения, должна иметь ограничение по сумме платежа. По факту же авторам исследования удалось обойти и это ограничение: в видеоролике на сайте проекта они демонстрируют снятие тысячи фунтов с заблокированного айфона.

Система безопасности платежей без авторизации полагается на невозможность изменения идентификаторов на карте или телефоне. Эту «проблему» удалось обойти при помощи двух Android-смартфонов с NFC-ридером и модифицированного ПО. Один из них «представляется» айфону тем самым транспортным платежным терминалом. Данные передаются на другой смартфон, который прикладывается уже к настоящему платежному терминалу. В процессе передачи данных меняется последовательность бит CTQ (Card Transaction Qualifiers), сообщающая терминалу о наличии авторизации со стороны пользователя.

Патча для уязвимости пока нет, хотя исследователи сообщили о своих находках в Apple и Visa соответственно в октябре 2020 и мае 2021 года. Пока проблема не решена, авторы исследования не рекомендуют привязывать карты Visa к Apple Pay. Звучит как радикальное решение, но на самом деле дыра в системе платежей с телефона представляет серьезную опасность. Даже не обязательно в сценарии, когда к вам подкрадывается злоумышленник со сканером, а попросту если телефон украдут. Впрочем, по мнению Visa, в реальных условиях атака не может быть проведена. Исследователи попробовали провести такую же атаку на телефоны с системой Samsung Pay, но столкнулись с более качественной защитой. Там также существует возможность провести платеж на турникете метро без авторизации. Но сумма платежа всегда нулевая, а реальное списание происходит позже исходя из параметров авторизации — где приложили и сколько должен стоить проезд.

Что еще произошло:

Исследование «Лаборатории Касперского» рассказывает об эволюции вредоносного ПО FinSpy, также известного как FinFisher.

Исследователи проанализировали популярные Bitcoin-банкоматы и нашли там дефолтный пароль администратора. Точнее, QR-код, который открывает доступ к админке.

Интересная статья о методе обнаружения пропавшего iPhone, даже если он выключен. На Хабре вышел ее перевод .

Криптобиржа Coinbase сообщила об успешной атаке на 6000 пользователей, которая произошла ранее в этом году. Взлом учетных записей стал возможен благодаря повторному использованию паролей, ранее утекших на других ресурсах, а также из-за уязвимости, которая позволила обойти систему двухфакторной аутентификации через SMS.

b761908d7e121298114b2ab8cf49e243.png
В твите выше показан любопытный метод запугивания пользователей. Владельцам Android-смартфонов сообщают, что на их устройстве якобы обнаружен троян Flubot. Нажатие на баннер как раз и приводит к установке этого трояна.

Исследователь показал (см. также новость на Хабре) необычный способ фишинга: на поддельную страницу входа в iCloud пользователя переводит маячок Apple Airtag, у которого включен режим потери. Это, кстати, еще одна уязвимость в инфраструктуре Apple, на которую компания не смогла вовремя отреагировать. Первооткрыватель выложил информацию, не дожидаясь решения проблемы.
apple pay visa
Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!