Исследователи в области кибербезопасности раскрыли непропатченную уязвимость в Apple Pay, которой злоумышленники могут воспользоваться для совершения несанкционированного платежа Visa с заблокированного iPhone воспользовавшись режимом «Express Travel», установленным в кошельке устройства.
«Злоумышленнику нужен только украденный включенный iPhone. Транзакции также могут быть переданы с iPhone, находящегося в сумке человека, без его ведома» - заявила группа ученых из Бирмингемского университета и Университета Суррея. «Злоумышленнику не требуется помощь со стороны терминала оплаты а бэкенд-проверки на мошенничество не остановили ни один из наших тестовых платежей».
Express Travel - это функция, которая позволяет пользователям iPhone и Apple Watch совершать быстрые бесконтактные платежи за проезд в общественном транспорте без необходимости пробуждения или разблокировки устройства, открытия приложения или даже подтверждения с помощью Face ID, Touch ID или пароля.
Атака MitM, которая заключается в обходе экрана блокировки для нелегального осуществления платежа на любом считывающем устройстве EMV, стала возможной благодаря комбинации уязвимостей в системе Apple Pay и Visa и не затрагивает, скажем, карты Mastercard в Apple Pay или карты Visa в Samsung Pay.
Атака основана на имитации транзакции с помощью устройства Proxmark, которое действует как считыватель карт EMV, связываясь с iPhone жертвы, и приложения Android с поддержкой NFC, которое функционирует как эмулятор карты для передачи сигналов на платежный терминал.
В частности, для разблокировки Apple Pay он использует уникальный код - так называемый «Magic Byte», - передаваемый транзитными гейтами, в результате чего, воспроизводя последовательность байтов, устройство Apple авторизует несанкционированную транзакцию как будто она исходит от цифрового турникета, в то время как на самом деле она была запущена через терминал бесконтактных платежей под контролем злоумышленника.
В то же время считыватель EMV также вводится в заблуждение полагая, что была проведена аутентификация пользователя на устройстве, что позволяет совершать платежи на любую сумму без ведома пользователя iPhone.
Apple и Visa были предупреждены об уязвимости в октябре 2020 года и мае 2021 года соответственно, сообщили исследователи, добавив, что «обе компании признают серьезность уязвимости, но не пришли к соглашению о том, какая из сторон должна внедрить исправление».
В заявлении, переданном BBC, Visa заявила, что этот тип атаки является «непрактичным», добавив: «Разновидности схем бесконтактного мошенничества изучались в лабораторных условиях более десяти лет и оказались непрактичными для реализации в реальном мире».
«Это вызывает обеспокоенность в отношении системы Visa, но Visa не считает, что такой вид мошенничества может иметь место в реальном мире, учитывая наличие многочисленных уровней безопасности» - цитирует представителя Apple национальная телерадиовещательная компания Великобритании.
Источник: https://is-systems.org