Security Week 40: кража денег через Apple Pay

29 сентября исследователи из университетов Бирмингема и Суррея показали способ снятия средств с телефонов Apple, на которых активирована функция Apple Pay с использованием карты Visa (новость, сайт проекта, препринт научной работы). Важное дополнение: снятие средств не требует подтверждения пользователя путем разблокировки телефона, то есть можно инициировать мошенническую транзакцию без ведома владельца. Как и недавнее исследование из Швейцарии, атака предполагает передачу данных с телефона жертвы на платежный терминал через связку из двух устройств — приемника и передатчика, которые могут находиться на большом расстоянии друг от друга.



Не очень понятно, как квалифицировать данную недоработку — как уязвимость или как стандартную функциональность платежной системы. При выполнении некоторых условий списание средств с Apple Pay намеренно не требует разблокировки телефона. Например, при оплате на транспорте или в других условиях, где требуется быстрая авторизация, а соединение с интернетом может быть нестабильным. По идее, такая транзакция, как и оплата картой без подтверждения, должна иметь ограничение по сумме платежа. По факту же авторам исследования удалось обойти и это ограничение: в видеоролике на сайте проекта они демонстрируют снятие тысячи фунтов с заблокированного айфона.
Читать дальше →

Источник: Хабрахабр