iPhone po kradzieży ma być bezużyteczny. Użytkownicy mają ufać swoim telefonom, a złodzieje mają czuć się zniechęceni do takich kradzieży. Jest jednak sposób, by wyczyścić komuś konto kradzionym iPhone'em.
Analitycy znaleźli furtkę, która pozwala płacić kradzionym telefonem Apple bez autoryzacji, jeśli do usługi Apple Pay została dodana karta płatnicza Visa. W ten sposób można wydać nawet tysiące złotych, płacąc bezkontaktowo. Co więcej, można w ten sposób kraść pieniądze z telefonów w torebkach i kieszeniach innych osób, korzystając ze zbliżeniowego terminala płatniczego.
Kto nawalił? Trudno powiedzieć. Ten sposób płacenia jest możliwy dzięki niezałatanym podatnościom w systemach Visa i Apple Pay. By płatność była możliwa, karta musi działać w trybie Express Transit. To sposób płacenia przygotowany dla podróżujących transportem publicznym w niektórych miastach, w tym w metrze w Londynie i Mińsku. Małe kwoty są pobierane przy bramkach bez odblokowania telefonu, wystarczy zbliżyć go do czytnika przy bramkach.
Zobacz: Apple Pay to nowa metoda płatności w Cinkciarz Pay
Zobacz: Xiaomi NFC Pay Strap to pasek do płatności zbliżeniowych
Problem w tym, że ten sposób działa nie tylko przy wejściu do metra i można pobrać kwoty znacznie większe, niż za bilet na przejazd. Analitycy pokazali, jak można pobrać tysiąc funtów standardowym terminalem zbliżeniowym Europay. Konieczne jest ustawienie terminala w taki sposób, by udawał ten używany na bramce metra, a to żadne wyzwanie. Następnie obsługa płatności została przekierowana, by aplikacja na telefonie z Androidem mogła wychwycić sygnały autoryzujące płatność.
Co ciekawe, analitykom udało się nawet wykonywać płatności na kwoty przekraczające limit dla płatności bezkontaktowych, ustawiony w banku.
Ken Munro z Pen Test Partners skomentował to odkrycie. Jego zdaniem problemem nie są pieniądze. Możliwość kradzieży telefonu i płacenia tym sposobem otwiera drogę do oszustw, a może nawet do prania pieniędzy. Wcześniej PIN zabezpieczający byłby gwarancją bezpieczeństwa, ale nagle kradzież iPhone'a z włączonym Express Transit stała się atrakcyjna.
Szczęśliwie opisany przykład to ćwiczenie czysto akademickie. Visa twierdzi, że Apple Pay jest bezpieczny „w praktyce” i nie było żadnego nadużycia, które wykorzystywałoby opisany mechanizm. Oby tak pozostało. Podatność została zgłoszona Apple'owi w październiku 2020 roku, Visa zaś dostała informację o niej w maju 2021. Nadal nie dogadali się, kto powinien implementować poprawkę.
Za odkrycie luki w zabezpieczeniach odpowiadają analitycy z uniwersytetów w Birmingham i Surrey, wspierani przez brytyjskie National Cyber Security Centre (NCSC). Najlepiej więc nie korzystać z tego sposobu płacenia, a w razie kradzieży usunąć dane z urządzenia. Szczęśliwie jedyne polskie metro nie obsługuje tego sposobu płacenia.
Źródło zdjęć: Nathan Dumlao (Unsplash)
Źródło tekstu: threatpost
