Исследования обнаружили уязвимость в платежной системе Apple Pay и Visa. Обнаружив ошибку, которую мошенники могут использовать для обхода мер безопасности и осуществления неограниченных бесконтактных покупок, исследователи призвали пользователей iPhone отказаться от Visa в качестве транспортной карты с помощью Apple Pay.
Эксперты из Университета Бирмингема и Университета Суррея выразили опасения, что уязвимость может быть использована для проведения транзакций с iPhone в чьем-то багаже без их ведома.
Есть брешь в безопасности платежной системы Apple Pay и Visa.
Сообщается, что проблема возникает только с Apple Pay, когда карта Visa настроена как карта Express Travel Card, также известная как режим Express Transit. Команда использовала простое радиооборудование, чтобы обмануть iPhone, заставив его поверить, что он взаимодействует с транзитными воротами, хотя на самом деле он был устройством для считывания платежей. Это было достигнуто путем обнаружения уникального кода, отправляемого транзитными воротами, который затем использовался для создания помех сигналам между iPhone и устройством считывания карт магазина.
Доктор Том Чотиа из Университета Бирмингема сказал: «Владельцы iPhone должны проверить, настроена ли у них карта Visa для транзитных платежей, и если да, то они должны ее отключить. Пользователи Apple Pay не должны подвергаться опасности, но пока Apple или Visa не исправят это, они будут в опасности ».
Тесты группы показали, что внутренние проверки на обнаружение мошенничества не смогли предотвратить прохождение каких-либо платежей. Исследователи заявили, что разговаривали с Apple и Visa об уязвимости, заявив, что оба признали важность основной проблемы, но еще не пришли к соглашению о том, кто должен внедрить решение.
«Варианты схем бесконтактного мошенничества изучались в лабораторных условиях более десяти лет и оказались непрактичными для масштабной реализации в реальном мире», – заявила представитель Visa. «Visa очень серьезно относится ко всем угрозам безопасности, и мы неустанно работаем над повышением безопасности платежей во всей экосистеме», – добавила она.
Затем Apple ответила: «Мы очень серьезно относимся к любой угрозе безопасности пользователей. Это проблема системы Visa, но Visa не считает, что подобный вид мошенничества может иметь место в реальном мире, учитывая наличие нескольких уровней безопасности. В том маловероятном случае, если произойдет несанкционированный платеж, Visa дала понять, что их держатели карт защищены политикой нулевой ответственности Visa ».
Apple и Visa не смогли прийти к соглашению
Доктор Андреа Раду, руководитель исследования, прокомментировала: «Наша работа показывает наглядный пример функции, призванной постепенно облегчить жизнь, иметь неприятные последствия и отрицательно сказаться на безопасности, что может иметь серьезные финансовые последствия для пользователей».
«Наши обсуждения с Apple и Visa показали, что, когда обе стороны в отрасли частично виноваты, ни одна из них не желает брать на себя ответственность и внедрять исправление, оставляя пользователей уязвимыми на неопределенный срок», – добавил он.
Недостаток безопасности не распространяется на другие комбинации, такие как Mastercard в iPhone или Visa в Samsung Pay. Полные выводы исследователей будут представлены на симпозиуме IEEE 2022 года по безопасности и конфиденциальности.