- Badacze znaleźli sposób, by mimo aktywowanej blokady ekranu dokonywać zakupów z konta użytkownika iPhona, do którego podłączona jest karta Visa ustawiona w trybie ekspresowym dla karty transportu publicznego
- Naukowcy z University of Birmingham i University of Surrey wykazali, że atakujący mogą nie tylko ominąć blokadę ekranu Apple Pay, ale także limit transakcji dla płatności zbliżeniowych
- Eksperci ESET radzą, jak wyeliminować ryzyko potencjalnego ataku
Możliwość kradzieży pieniędzy poprzez luki w zabezpieczeniach Apple Pay i Visa
Zdaniem badających problem pracowników brytyjskich uczelni do przeprowadzenia skutecznego ataku wystarczy skradziony iPhone z włączonym zasilaniem. Co więcej, nieautoryzowane transakcje mogą być dokonywane także wtedy, gdy urządzenie znajduje się na przykład w bagażu ofiary. Skuteczny atak w tych okolicznościach jest możliwy dzięki wykorzystaniu kombinacji luk w zabezpieczeniach systemu płatności Apple Pay i Visa.
Dokonując płatności za pośrednictwem aplikacji na smartfonie, użytkownik zwykle musi uwierzytelnić transakcję za pomocą jednej z wbudowanych w iPhone funkcji biometrycznych, takich jak skan odcisku palca bądź Face ID. Innym sposobem jest podanie kodu PIN. Jednak w maju 2019 roku Apple wprowadził funkcję „Ekspresowy tranzyt/podróż”, która umożliwia korzystanie z Apple Pay bez odblokowywania telefonu. Została wprowadzona, aby ułatwić płatności na stacjach transportowo-biletowych, takich jak na przykład bramki autostradowe.
Naukowcy z brytyjskich uczelni wykazali, że tę funkcję można wykorzystać, aby ominąć ekran blokady Apple Pay i zapłacić kartą Visa z zablokowanego iPhone'a, bez autoryzacji użytkownika, dowolną kwotę, wykorzystując do tego celu emulator czytnika inteligentnych kart płatniczych (EMV). Ten rodzaj ataku, sklasyfikowany jako Man-in-the-Middle (MitM), wymaga, aby iPhone miał skonfigurowaną kartę Visa do płatności oraz włączony tryb „Express Travel”, a ofiara była w niewielkiej odległości od napastnika.
Do przeprowadzenia testu naukowcy z uniwersytetów w Birmingham i Surrey wykorzystali Proxmark, który działał jako emulator czytnika kart oraz telefon z Androidem i obsługą NFC (standard komunikacji pozwalający na bezprzewodową wymianę danych na odległość do 20 centymetrów), który był używany jako emulator karty do komunikacji z terminalem płatniczym.
- W praktyce atak polega na tym, że wykorzystując specjalnie do tego celu skonstruowane urządzenie płatnicze, atakujący, dysponujący fizycznym dostępem do smartfona, może wykraść pieniądze z karty Visa, jeśli tylko został włączony dla niej tryb tzw. „ekspresowej podróży” w usłudze Apple Pay – wyjaśnia Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa ESET. - Korzystając z pary telefonów z systemem Android i obsługą NFC, zespół badawczy był w stanie obejść protokół Visa używany do zabezpieczania transakcji płatniczych. Pierwszy telefon z Androidem został wykorzystany jako czytnik kart, natomiast drugi jako karta inteligentna, co pokazuje mechanizm kradzieży. Wyłączony tryb „ekspresowej podróży” dla karty Visa w usłudze Apple Pay zabezpiecza przed atakiem – dodaje Kamil Sadkowski.
Zespół badaczy przeprowadzający eksperyment był w stanie zrealizować transakcje o wartości 1000 GBP (obecnie ponad 5000 złotych).
Zarówno Apple, jak i Visa zostały powiadomione przez badaczy o lukach bezpieczeństwa. Chociaż obie firmy potwierdziły ich wagę, to muszą jeszcze dojść do porozumienia, która z nich powinna wdrożyć rozwiązanie problemu. W międzyczasie zaleca się, aby użytkownicy nie korzystali z kart Visa w trybie ekspresowym dla karty transportu publicznego w usłudze Apple Pay.
Najskuteczniejsze metody blokowania smartfona
- Choć przeprowadzony eksperyment pokazuje, że blokada telefonu niekoniecznie musi być dla hakerów barierą nie do pokonania, to niewątpliwie blokowanie smartfona może pomóc minimalizować ryzyko wielu nieprzyjemnych incydentów z zakresu cyberbezpieczeństwa. Aktywna blokada telefonu uniemożliwia niepowołany dostęp do urządzenia, na przykład w sytuacji jego zgubienia lub kradzieży. Optymalnym rozwiązaniem jest stosowanie kombinacji ustawień zabezpieczających, takich jak trudny do odgadnięcia kod PIN lub złożone hasło w połączeniu ze skanem odcisku palca lub twarzy – radzi ekspert ESET.