Badania wykazały lukę w systemie płatności Apple Pay i Visa. Po znalezieniu błędu, który oszuści mogą wykorzystać do obejścia zabezpieczeń i dokonywania nieograniczonych zakupów zbliżeniowych, badacze wezwali użytkowników iPhone’a do anulowania Visa jako karty transportowej przy użyciu Apple Pay.
Eksperci z University of Birmingham i University of Surrey wyrazili obawy, że usterka może zostać wykorzystana do przeprowadzania transakcji z iPhone’a w czyimś bagażu bez ich wiedzy.
Istnieje luka w zabezpieczeniach systemu płatności Apple Pay i Visa
Mówi się, że problem występuje tylko w przypadku Apple Pay, gdy karta Visa jest skonfigurowana jako Express Travel Card, znana również jako tryb Express Transit. Zespół użył prostego sprzętu radiowego, aby oszukać iPhone’a, aby uwierzył, że komunikuje się z bramką tranzytową, podczas gdy w rzeczywistości był to czytnik płatności. Udało się to osiągnąć poprzez wykrycie unikalnego kodu wysyłanego przez bramki tranzytowe, który następnie był wykorzystywany do zakłócania sygnałów między iPhonem a czytnikiem kart sklepowych.
Dr Tom Chothia z University of Birmingham powiedział: „Właściciele iPhone’ów powinni sprawdzić, czy mają kartę Visa skonfigurowaną do płatności tranzytowych, a jeśli tak, powinni ją wyłączyć. Nie ma potrzeby, aby użytkownicy Apple Pay byli narażeni na niebezpieczeństwo, ale dopóki Apple lub Visa tego nie naprawią”.
Testy grupy wykazały, że wewnętrzne kontrole wykrywania oszustw nie były w stanie zapobiec realizacji jakichkolwiek płatności. Badacze powiedzieli, że rozmawiali z Apple i Visa na temat luki, twierdząc, że obaj uznali znaczenie problemu, ale jeszcze nie osiągnęli porozumienia w sprawie tego, kto powinien wdrożyć rozwiązanie.
„Odmiany schematów oszustw zbliżeniowych były badane w warunkach laboratoryjnych od ponad dekady i okazały się niepraktyczne w realizacji na dużą skalę w świecie rzeczywistym” – powiedziała rzeczniczka Visa. „Visa bardzo poważnie traktuje wszystkie zagrożenia bezpieczeństwa i niestrudzenie pracujemy nad wzmocnieniem bezpieczeństwa płatności w całym ekosystemie” – dodała.
Następnie Apple odpowiedział: „Bardzo poważnie traktujemy każde zagrożenie dla bezpieczeństwa użytkowników. Jest to problem związany z systemem Visa, ale Visa nie wierzy, że tego rodzaju oszustwa mogą mieć miejsce w prawdziwym świecie, biorąc pod uwagę wiele warstw zabezpieczeń. W mało prawdopodobnym przypadku, gdy dojdzie do nieautoryzowanej płatności, Visa dała jasno do zrozumienia, że posiadacze ich kart są chronieni polityką zerowej odpowiedzialności Visa.”
Apple i Visa nie mogły dojść do porozumienia
Dr Andreea Radu, kierująca badaniem, skomentowała: „Nasza praca pokazuje wyraźny przykład funkcji, która ma stopniowo ułatwiać życie, przynosić odwrotny skutek i negatywnie wpływać na bezpieczeństwo, z potencjalnie poważnymi konsekwencjami finansowymi dla użytkowników”.
„Nasze rozmowy z Apple i Visa ujawniły, że gdy dwie strony branżowe ponoszą częściową winę, żadna z nich nie jest skłonna zaakceptować odpowiedzialności i wdrożyć poprawki, narażając użytkowników na nieskończoność” – dodał.
Luka bezpieczeństwa nie dotyczy innych kombinacji, takich jak Mastercard w iPhone’ach czy Visa w Samsung Pay. Pełne odkrycia naukowców zostaną zaprezentowane na sympozjum IEEE 2022 na temat bezpieczeństwa i prywatności.