Оплата Apple Pay может быть опасна из-за новых уязвимостей

Британские исследователи из Бирмингемского университета и Университета Суррея показали, что уязвимости в Apple Pay и Visa могут позволить хакерам обойти экран блокировки Apple Pay в iPhone и совершать бесконтактные платежи.
Оплата Apple Pay может быть опасна из-за новых уязвимостей
Unsplash

Многие из нас пользуются сегодня только бесконтактными платежами, но новая уязвимость может сделать такой тип оплаты очень опасным

Бесконтактные платежи сегодня распространены как никогда — приложить телефон или карту для оплаты покупки сегодня можно в любом магазине и даже в транспорте. Однако, у этой технологии есть и несколько минусов. Самый очевидный — возможность совершать платежи до 1000 рублей без пароля, которой могут воспользоваться воры. Но это далеко не единственная проблема перспективной технологии — эксперты теперь обнаружили новые уязвимости, которые могут позволить хакерам проникнуть в ваше устройство и совершать с него покупки.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Исследователи обнаружили, что уязвимость возникает, когда карты Visa настраиваются в режиме транспортной экспресс-карты в кошельке iPhone. Такой режим есть на многих смартфонах, и он позволяет пассажирам совершать быстрые бесконтактные мобильные платежи, например, на турникете станции метро, без аутентификации по отпечаткам пальцев. Слабость заключается в том, что системы ApplePay и Visa работают вместе и не влияют на другие комбинации, такие как Mastercard в iPhone или Visa в Samsung Pay.

Используя простое радиооборудование, команда определила уникальный код, передаваемый воротами или турникетами. Этот код, который исследователи прозвали «волшебными байтами», разблокирует Apple Pay. Команда обнаружила, что затем они смогли использовать этот код для создания помех сигналам, передаваемым между iPhone и устройством чтения карт магазина.

РЕКЛАМА – ПРОДОЛЖЕНИЕ НИЖЕ

Передавая волшебные байты и изменяя другие поля в протоколе, они смогли обмануть iPhone, заставив его думать, что он передает информацию транзитным воротам, в то время как на самом деле он разговаривал с устройством чтения карт в магазине. В то же время метод исследователей убедил терминал в магазине в том, что iPhone успешно завершил авторизацию пользователя, поэтому платежи на любую сумму могут быть осуществлены без ведома пользователя iPhone.

Результаты работы и видео с оплатой ученые представили на своем сайте.