Представьте, что ваш iPhone лежит в кармане, полностью заблокированный, и кто-то умудряется снять тысячи долларов с вашего цифрового кошелька, не касаясь экрана и не используя распознавание лиц! Это может звучать как сюжет из научно-фантастического фильма, но это действительно произошло в реальном, хотя и спорном, эксперименте. Исследователи безопасности из университетов Суррея и Бирмингема провели сложную атаку на iPhone популярного ютубера Маркуса Браунли (MKBHD), успешно сняв с его заблокированного устройства колоссальную сумму в 10 000 долларов.
трюк с быстрой транспортировкой
Атака, о которой рассказал популярный канал Veritasium, использует уязвимость в режиме экспресс-оплаты Apple Pay. Эта функция предназначена для быстрой оплаты на станциях метро и автобусов без необходимости разблокировки iPhone или использования Face ID. Однако исследователи нашли способ обмануть телефон, заставив его думать, что он находится у турникета на станции общественного транспорта, хотя на самом деле он находится у поддельного считывателя карт.
Для этого требуется физический доступ к устройству и специализированное оборудование. Для перехвата соединения используется NFC-считыватель, подключенный к ноутбуку. Затем идентификатор NFC-считывателя изменяется таким образом, чтобы он соответствовал идентификаторам авторизованных терминалов, а собранные платежные данные отправляются на другой телефон (скомпрометированный телефон), который размещается рядом с легитимным считывателем карт для завершения кражи.
Почему именно карты Visa?
Интересно, что эта уязвимость работает только с очень специфической комбинацией: iPhone и картой Visa. Оказывается, проблема не в самой операционной системе Apple, а в протоколах безопасности Visa для обработки транзакций экспресс-перевода. Атака не работает с картами Mastercard или American Express, потому что эти компании используют другие методы защиты, которые нельзя обмануть таким же образом.
Пользователи устройств Samsung и сервиса Samsung Pay также защищены от этого типа атак, что возлагает ответственность за выяснение того, кто несет ответственность за эту уязвимость в системе безопасности, позволяющую обходить ограничения традиционных транзакций и снимать огромные суммы в тысячи долларов за одну операцию.
Стоит ли беспокоиться о своих деньгах?
В ответ на этот инцидент Apple заявила, что проблема связана с системой Visa и что подобное мошенничество в реальном мире маловероятно из-за технической сложности и необходимости физического доступа. Visa, со своей стороны, подчеркнула, что ее держатели карт защищены политикой «нулевой ответственности», что означает, что любые мошеннические транзакции такого рода могут быть легко возмещены.
Проще говоря, вам не стоит беспокоиться.
Эксперты считают, что осуществить столь масштабную атаку на улице было бы крайне сложно, но это служит важным напоминанием о том, что технологии, какими бы безопасными они ни были, всегда могут содержать неожиданные уязвимости. Если вас это беспокоит, самый простой совет — избегать использования карты Visa в качестве основного способа оплаты «Fast Transit» на вашем iPhone или просто отключить эту функцию, если вы не пользуетесь поддерживаемым общественным транспортом.
Источник:
5 комментариев