Naukowcy z University of BirminghamUniversity of Surrey znaleźli sposób, by mimo aktywowanej blokady ekranu dokonywać zakupów z konta użytkownika iPhone’a, do którego podłączona jest karta Visa ustawiona w trybie ekspresowym dla karty transportu publicznego. Badacze wykazali, że atakujący mogą nie tylko ominąć blokadę ekranu Apple Pay, ale także limit transakcji dla płatności zbliżeniowych.

Zdaniem badających problem pracowników brytyjskich uczelni do przeprowadzenia skutecznego ataku wystarczy skradziony iPhone z włączonym zasilaniem. Co więcej, nieautoryzowane transakcje mogą być dokonywane także wtedy, gdy urządzenie znajduje się na przykład w bagażu ofiary. Skuteczny atak w tych okolicznościach jest możliwy dzięki wykorzystaniu kombinacji luk w zabezpieczeniach systemu płatności Apple Pay i Visa.

 

 

Dokonując płatności za pośrednictwem aplikacji na smartfonie, użytkownik zwykle musi uwierzytelnić transakcję za pomocą jednej z wbudowanych w iPhone funkcji biometrycznych, takich jak skan odcisku palca bądź Face ID. Innym sposobem jest podanie kodu PIN. Jednak w maju 2019 roku Apple wprowadził funkcję Ekspresowy tranzyt/podróż, która umożliwia korzystanie z Apple Pay bez odblokowywania telefonu. Ułatwiło to płatności na stacjach transportowo-biletowych, takich jak na przykład bramki autostradowe.

Brytyjscy naukowcy wykazali, że wspomnianą funkcję można wykorzystać, aby ominąć ekran blokady Apple Pay i bez autoryzacji użytkownika zapłacić kartą Visa z zablokowanego iPhone’a a dowolną kwotę, wykorzystując do tego celu emulator czytnika inteligentnych kart płatniczych (EMV). Ten rodzaj ataku, sklasyfikowany jako Man-in-the-Middle (MitM), wymaga, aby iPhone miał skonfigurowaną kartę Visa do płatności oraz włączony tryb Express Travel, a ofiara była w niewielkiej odległości od cyber-napastnika.

 

Do przeprowadzenia testu naukowcy z uniwersytetów w Birmingham i Surrey wykorzystali Proxmark, który działał jako emulator czytnika kart oraz telefon z Androidem i obsługą NFC (standard komunikacji pozwalający na bezprzewodową wymianę danych na odległość do 20 centymetrów), który był używany jako emulator karty do komunikacji z terminalem płatniczym.

W praktyce atak polega na tym, że wykorzystując specjalnie do tego celu skonstruowane urządzenie płatnicze, atakujący, dysponujący fizycznym dostępem do smartfona, może wykraść pieniądze z karty Visa, jeśli tylko został włączony dla niej tryb tzw. ekspresowej podróży w usłudze Apple Pay – wyjaśnia Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa w ESET. – Korzystając z pary telefonów z systemem Android i obsługą NFC, zespół badawczy był w stanie obejść protokół Visa używany do zabezpieczania transakcji płatniczych. Pierwszy telefon z Androidem został wykorzystany jako czytnik kart, natomiast drugi jako karta inteligentna, co pokazuje mechanizm kradzieży. Wyłączony tryb „ekspresowej podróży” dla karty Visa w usłudze Apple Pay zabezpiecza przed atakiem.

 

 

Zespół badaczy przeprowadzający eksperyment był w stanie zrealizować transakcje o wartości 1000 GBP (obecnie ponad 5000 złotych). Zarówno Apple, jak i Visa zostały powiadomione przez badaczy o lukach bezpieczeństwa. Chociaż obie firmy potwierdziły ich wagę, to muszą jeszcze dojść do porozumienia, która z nich powinna wdrożyć rozwiązanie problemu. W międzyczasie zaleca się, aby użytkownicy nie korzystali z kart Visa w trybie ekspresowym dla karty transportu publicznego w usłudze Apple Pay.

Choć przeprowadzony eksperyment pokazuje, że blokada telefonu niekoniecznie musi być dla hakerów barierą nie do pokonania, to niewątpliwie blokowanie smartfona może pomóc minimalizować ryzyko wielu nieprzyjemnych incydentów z zakresu cyberbezpieczeństwa. Aktywna blokada telefonu uniemożliwia niepowołany dostęp do urządzenia, na przykład w sytuacji jego zgubienia lub kradzieży. Optymalnym rozwiązaniem jest stosowanie kombinacji ustawień zabezpieczających, takich jak trudny do odgadnięcia kod PIN lub złożone hasło w połączeniu ze skanem odcisku palca lub twarzy – podsumowuje ekspert ESET.

źródło: informacja prasowa