Didžiulius neteisėtus bekontakčius mokėjimus galima atlikti ir užrakintais „iPhone“ įrenginiais, išnaudojant tai, kaip „Apple Pay“ funkcija, skirta padėti keleiviams greitai atsiskaityti bilietų patikros varteliuose. Tyrėjai nustatė, kad net ir užrakintu „iPhone“ galima įvykdyti bekontaktį „Visa“ atsiskaitymą už 1000 svarų sterlingų.
Didžiulius neteisėtus bekontakčius mokėjimus galima atlikti ir užrakintais „iPhone“ įrenginiais, išnaudojant tai, kaip „Apple Pay“ funkcija, skirta padėti keleiviams greitai atsiskaityti bilietų patikros varteliuose, veikia su „Visa“, rašo BBC.
Tyrėjai nustatė, kad net ir užrakintu „iPhone“ galima įvykdyti bekontaktį „Visa“ atsiskaitymą už 1000 svarų sterlingų.
Asociatyvi „Pixabay“ nuotr.
„Apple“ teigimu, problema yra su „Visa“ sistema. „Visa“ tuo tarpu teigė, kad atsiskaitymai saugūs ir tokio tipo atakos nepraktikuojamos už laboratorijos ribų.
Tyrėjų teigimu, problema būdinga „Visa“ kortelėms, nustatytoms „Express Transit“ režimu „iPhone“ piniginėje.
„Express Transit“ yra „Apple Pay“ funkcija, leidžianti keliautojams greitai atsiskaityti telefonais bekontakčiu būdu, neatrakinant telefono, pavyzdžiui, prisilietus prie Londono metro bilietų patikros vartelių.
Spraga slypi tame, kaip „Visa“ sistemos veikia su šia funkcija. Mokslininkai iš Birmingemo ir Sario universitetų atrado, kaip tą spragą galima išnaudoti negeriems tikslams.
Demonstracinėje atakoje mokslininkai pasiėmė pinigus iš savo pačių sąskaitų. Viskas veikia taip. Šalia „iPhone“ padedamas nedidelis, komerciškai prieinamas radijo įrenginys, kuris apgauna telefoną ir verčia jį manyti, kad yra arti bilietų patikros vartelių. Tuo pačiu metu „Android“ telefonas, kuriame veikia tyrėjų sukurta programa, naudojamas perduoti signalams iš „iPhone“ į bekontaktį mokėjimo terminalą. Jų būna parduotuvėse, nusikaltėliai irgi tokiais naudojasi.
Kadangi „iPhone“ galvoja, kad atsiskaito su bilietų patikros varteliais, jam nereikia būti atrakintu. Tuo tarpu telefono ryšys su mokėjimo terminalu yra modifikuotas taip, kad atrodytų, jog „iPhone“ buvo atrakintas ir patvirtintas mokėjimas – tai leidžia atlikti didelės vertės operacijas neįvedant PIN kodo, nenaudojant pirštų atspaudų ar veido atpažinimo.
Tyrėjams pavyko atlikti „Visa“ apmokėjimą už 1000 svarų sterlingų neatrakinant telefono ar patvirtinant mokėjimo. Negana to, pasak mokslininkų, „Android“ telefonas ir mokėjimo terminalas net neturi būti netoli aukos „iPhone“ – jie gali išvis būti kitame žemyne, jeigu tik veikia interneto ryšys.
Tyrėjai šią ataką pademonstravo tik laboratorijos sąlygomis, tačiau kol kas nėra jokių duomenų, kad nusikaltėliai naudotųsi šia saugumo spraga. Visgi, mokslininkų manymu, tokios atakos lengviausiai įgyvendinamos su pavogtais „iPhone“ telefonais.
Mokslininkai teigia, kad pirmą kartą susirūpinę kreipėsi į „Apple“ ir „Visa“ beveik prieš metus – buvo „naudingų“ pokalbių, tačiau problema liko neišspręsta.
„Visa“ teigimu, tokio tipo atakos yra „neįgyvendinamos“. Kaip kompanija teigė BBC, ji imasi visų reikalingų saugumo priemonių prieš grėsmes, tačiau „Visa“ kortelės, prijungtos prie „Apple Pay Express Transit“, yra saugios, todėl kortelių turėtojai turėtų ir toliau jomis naudotis užtikrintai. Bekontakčių sukčiavimo schemų variantai buvo tiriami laboratorijose daugiau nei dešimtmetį ir pasirodė esą neįmanoma juos įgyvendinti tokiu mastu realiame pasaulyje“.
Gali būti, kad „Visa“ sukčiavimo aptikimo sistemos pastebėtų ir užblokuotų neįprastus apmokėjimus, nors tyrėjai atlikdami testus su tuo nesusidūrė.
Taip pat yra praktinė problema – priartėjimas prie aukos telefono. Kiekvienas, kuris mano, kad pametė telefoną, gali pasinaudoti „Apple iCloud“, kad užblokuotų „Apple Pay“ arba išvalytų telefoną nuo duomenų, taip pat gali įspėti „Visa“ ir blokuoti mokėjimus.
„Apple“ komentaras BBC: „Į bet kokią grėsmę vartotojų saugumui žiūrime labai rimtai. Tai yra problema su „Visa“ sistema, tačiau „Visa“ nemano, kad tokio pobūdžio sukčiavimas greičiausiai įvyks realiame pasaulyje, atsižvelgiant į visus saugumo sluoksnius. Mažai tikėtina, kad įvyks neteisėtas mokėjimas, „Visa“ aiškiai nurodė, kad jų kortelių turėtojai yra saugomi „Visa“ nulinės atsakomybės politikos.“
Vis dėlto, tyrimą atlikę mokslininkai aiškina, kad jeigu ataką galima padaryti laboratorijoje, nusikaltėliai tą patį gali pakartoti ir realiai. „Nėra reikalo „Apple Pay“ vartotojams būti pavojuje, tačiau kol „Apple“ ir „Visa“ nesutvarkys šios problemos, jie jame bus“, – teigė vienas tyrimą atlikusių mokslininkų.
