В Apple Pay нашли баг, позволяющий красть деньги с привязанной карты Visa

Несмотря на все призывы специалистов по информационной безопасности о том, что нужно регулярно обновлять протоколы защиты приложений, корпорации не обращают на это внимание. Очередной пример — Apple Pay.

Группа исследователей из университета Бирмингема и университета Суррея смогли найти способ, который позволил им совершить мошеннический платеж при помощи Apple Pay с заблокированного iPhone с привязанной картой Visa в цифровом кошельке.

В ходе изучения атак на бесконтактные платежи они обнаружили, что устройства iPhone способны подтверждать транзакции при определенных условиях. Известно, что для прохождения платежей, клиенту iPhone надо проводить авторизацию, разблокируя смартфон при помощи Face ID, Touch ID или пароля.

Но иногда разблокировку смартфона неудобно делать, поэтому была введена опция Express Transit, позволяющая осуществлять транзакции без разблокирования смартфона.

Что касается карты Visa, то функция может быть задействована для того, чтобы обойти экран блокировки Apple Pay и незаконного перевода с заблокированного iPhone при помощи карты Visa любым устройством чтения EMV на любые суммы, и пользователя авторизовать не надо.

Исследователям удалось сымитировать транзакцию, взяв устройство Proxmark, которое выступило, как кардридер, взаимодействуя с iPhone и Android с чипом NFC.

Они выяснили, что у них получилось менять квалификаторы карточных транзакций, которые отвечают за установку лимитов бесконтактных транзакций. При проведении эксперимента исследователям удалось провести транзакцию на 1000 фунтов стерлингов с заблокированного iPhone. Также протестировали атаку на iPhone 7 и iPhone 12. Тестирование прошло успешно с картами iPhone и Visa.

Самое интересное, что исследователи неоднократно обращали внимание представителей Apple и Visa, но там их запросы так и не были должным образом обработаны.

И еще одно, Apple до сих пор рассматривает несколько уязвимостей нулевого дня в iOS (14.7, 14.8 и 15.0), и пока никаких решений по этому поводу не принято. Такое поведение корпораций еще раз свидетельствует о том, что чем сложнее система, тем больше в ней проблем и уязвимостей. Расплачиваться за это приходится обычным пользователям.

Подписывайтесь на наш Telegram, чтобы всегда быть в курсе самых последних и горячих новостей  @like_freedman

Автор: Вадим Груздев, аналитик Freedman Сlub Crypto News

5 1 голос
Рейтинг статьи

Вадим Груздев

Раскрою любую тему в области криптовалют, экономики и фондового рынка. Написал уже 500+ статей о криптовалюте за два года.

Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x
()
x