Ошибка Apple Pay может позволить злоумышленникам обойти экран блокировки и совершать платежи

Группа исследователей из Великобритании обнаружила проблемы безопасности, связанные с картами Visa и Apple Pay, которые могут привести к тому, что злоумышленники обойдут экран блокировки и совершат мошеннические платежи.

Согласно исследованию, ошибка возникает, когда карты Visa настроены в режиме Apple Express Transit на iPhone. Уязвимость может позволить злоумышленникам обойти экран блокировки iPhone и совершать бесконтактные платежи без пароля.

Режим Apple Express Transit позволяет пользователям быстро оплачивать проезд в транспорте с помощью кредитной, дебетовой или транспортной карты, не разблокируя свое устройство.

Исследователи говорят, что уязвимость затрагивает только карты Visa, хранящиеся в Wallet. Это вызвано уникальным кодом, передаваемым транзитными воротами или транзитными турникетами, которые сигнализируют iPhone о разблокировке Apple Pay.

Используя обычное радиооборудование, исследователи смогли провести атаку, заставившую iPhone поверить в то, что он находится у транзитных ворот. В ходе проверочной атаки использовался iPhone с функцией Express Transit, позволяющей совершать мошеннические платежи на счетчик смарт-платежей. Подобная атака может произойти в «дикой природе» путем передачи уникального кода и изменения набора переменных.

Однако исследователи отмечают, что эта атака не имеет практического значения в широком масштабе. Даже если злоумышленник смог бы это осуществить, у банков и финансовых учреждений есть другие механизмы, которые сдерживают мошенничество, обнаруживая подозрительные транзакции.

Недостаток был обнаружен исследователями из Университета Бирмингема и Университета Суррея в Великобритании. Авторами статьи, которая должна быть опубликована на симпозиуме IEEE по безопасности и конфиденциальности 2022 года, являются Андреа-Ина Раду, Том Чотиа, Кристофер Дж. П. Ньютон, Иоана Буреану и Ликун Чен.

Исследователи предупредили Apple о первой в октябре 2020 года и Visa в мае 2021 года.

В заявлении для ZDNet Visa заявляет, что в этом типе атак нет ничего нового, и клиентам не о чем беспокоиться.

«Варианты схем бесконтактного мошенничества изучались в лабораторных условиях более десяти лет и оказались непрактичными для масштабного внедрения в реальном мире», — написала компания, выпускающая кредитные карты. «Visa очень серьезно относится ко всем угрозам безопасности, и мы неустанно работаем над повышением безопасности платежей во всей экосистеме».