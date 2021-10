Twoje pieniądze mogą być zagrożone.

Metoda na kradzież z karty dużych pieniędzy

Luka, która czeka na załatanie

„Przedstawiliśmy ten typ ataku zarówno Apple, jak i Visa oraz omówiliśmy go wraz z ich zespołami do spraw bezpieczeństwa. Apple zasugerowało, że najlepszym rozwiązaniem będzie wdrożenie przez Visa dodatkowych systemów wykrywających oszustwa, w szczególności sprawdzających IAD (ang. Issuer Application Data) oraz MCC (ang. Merchant Category Code). Tymczasem Visa zauważyła, że problem dotyczy tylko Apple (i na przykład nie usługi Samsung Pay), a więc zasugerowała, że odpowieenia poprawka powinna zostać wdrożona w samym Apple Pay.”

Na co dzień korzystasz z Apple Pay, ale właśnie skradziono Twój iPhone lub Apple Watch? Mam dla Ciebie bardzo złą wiadomość. Okazało się właśnie, iż usługa ta posiada bardzo poważną lukę w zabezpieczeniach, która pozwala hakerom wykonywać nieautoryzowane płatności z Twojego telefonu lub zegarka nawet wtedy, gdy ten jest zablokowany. Za odkryciem stoją uczeni z Wielkiej Brytanii, a dokładniej mówiąc z University of Birmingham oraz University Of Surrey.Za lukę obecną w Appe Pay odpowiada podobno tryb Karta ekspresowa transportu publicznego (ang. Express Transit), który został wprowadzony do usługi w iOS 12.3. Gdy tryb ten jest włączony, użytkownik może szybko płacić za przejazdy transportem publicznym z użyciem Apple Pay, bez konieczności budzenia lub odblokowywania urządzenia ani otwierania aplikacji. Płatności nie trzeba nawet uwierzytelniać z pomocą funkcji Face ID, Touch ID, ani kodu PIN.Tryb Karta ekspresowa transportu publicznego jest niezwykle wygodny, ale jak widać niestety też obniża poziom bezpieczeństwa aplikacji. W jaki sposób tryb ten działa? Jak wyjaśniają badacze, terminale zbliżeniowe, za pośrednictwem których dokonywane są zakupy biletów transportu publicznego, transmitują niestandardową sekwencję bajtów, która jest w stanie ominąć blokadę iPhone’a. Apple Pay sprawdza czy wszystkie wymagania są przez taki terminal spełnione i jeśli tak, przetwarza płatność.Tworząc fałszywy terminal, badacze z Wielkiej Brytanii zdołali wykorzystać Apple Pay do przetwarzania płatności zbliżeniowych. Tych można było dokonywać tylko z użyciem kart Visa, ale ogólnie rzecz biorąc metoda jest bardzo skuteczna. Uczeni twierdzą, że udało się im użyć sklepowego terminala płatniczego do dokonania z zablokowanego iPhone’a nieuczciwych płatności na kwoty nawet do 1000 funtów. W ten sposób można nawet pominąć dzienne limity płatności. Opisany proces został przedstawiony na poniższym filmie.Teoretycznie hakerzy mogą pobrać grube pieniądze z konta posiadacza nie tylko kradzionego iPhone’a, ale i iPhone’a znajdującego się w kieszeni czy torebce. W końcu metoda omija blokadę smartfonu.Co najgorsze, póki co żadna ze stron – ani Apple, ani Visa – nie wprowadziła na razie żadnych poprawek, które miałyby załatać lukę. Obydwie firmy, kolokwialnie mówiąc, wzajemnie zrzucają na siebie odpowiedzialność w tej sprawie., piszą uczeni.Polska nie należy do krajów, w których używanie trybu Karta ekspresowa transportu publicznego jest możliwe. Sprawdź jednak, w jakich państwach luka mogłaby zostać wykorzystana przeciwko Tobie – pod tym adresem . W Europie są to nie tylko Wielka Brytania, ale również Biołoruś, Rosja i Finlandia.Źródło: University of Birmingham , fot. tyt. Canva