Исследователь, которому удалось отследить использование людьми системы метро MTA в Нью-Йорке, говорит, что та же методология выявляет уязвимость Apple Pay, но неясно, действительно ли это так.
Нью-Йорк добавил поддержку Apple Pay на все станции метро еще в 2020 году после задержки плана по услуге Apple Express Transit.
Теперь Джозеф Кокс из 404media утверждает, что обнаружил поразительно слабую уязвимость в системах MTA, которая также ставит под угрозу Apple Pay. Кокс вспоминает, как отслеживал путешественника с помощью данных его кредитной карты, и без дальнейших объяснений говорит, что то же самое возможно, если он платит с помощью, казалось бы, гораздо более безопасного Apple Pay.
«Я сидел в квартире и следил за их перемещениями с помощью функции на веб-сайте Metropolitan Transportation Authority (MTA), который управляет системой метро Нью-Йорка», — пишет Кокс. «С их согласия я ввел данные кредитной карты пассажира — данные, которые часто легко купить на криминальных рынках или которые может быть легко получить злоумышленному партнеру — и ввел их на сайт MTA для OMNY, бесконтактной службы метрополитена. платежная система».
«Через несколько секунд, — продолжил он, — сайт выдал историю путешествий гонщика за последние 7 дней, никакой другой проверки не потребовалось».
Если это правда, то это, несомненно, серьезная проблема безопасности для MTA. В электронном письме Cox, в котором подчеркивается, что компания «обязуется сохранять конфиденциальность клиентов», MTA отметила, что регистрирует исключительно точку въезда путешественника, а не точку его выезда.
Однако это абсурд, потому что сталкер или другой преступник может просто дождаться, пока путешественник совершит обратный путь, и у них будет, вероятно, весь их маршрут.
Таким образом, система MTA имеет недостатки, но реальный вопрос касается Apple Pay, поскольку она должна быть невосприимчива к любым проблемам безопасности, связанным с кредитными картами. В момент транзакции Apple Pay вообще не передает информацию о кредитной карте пользователя, а предоставляет одноразовый код проверки.
Следовательно, Кокс заключает, что, поскольку он или другие сотрудники 404media заявляют, что они могут выполнять такое же отслеживание при использовании Apple Pay, Apple Pay скомпрометирована.
Однако результаты еще предстоит воспроизвести — и существует также вопрос о том, в чем состоит суть транзакции.
Кокс не очень ясно разбирается в этом вопросе, но он говорит, что для доступа к истории MTA пользователя ему нужно было всего лишь ввести данные его кредитной карты. Это наверняка те же данные карты, которые пользователь зарегистрировал в системе бесконтактных платежей OMNY MTA.
Так что, если путешественник зарегистрировался, например, с помощью Apple Card, то не кажется компромиссом, если оплата по этому счету инициируется на турникете.
«Apple не ответила на просьбу разъяснить, как работает функция веб-сайта MTA, когда пассажир использует Apple Pay», — написал Кокс.