Jest luka w Apple Pay. Kradzież 10 tys. dolarów z zablokowanego iPhone'a
Czy twój smartfon jest naprawdę bezpieczny, gdy leży zablokowany w kieszeni? Niedawny eksperyment youtuberów Veritasium i Marquesa Brownlee'a (MKBHD) zademonstrował, z jaką łatwością można ukraść 10 tys. dolarów z zablokowanego iPhone'a poprzez Apple Pay i z wykorzystaniem NFC - bez konieczności wpisywania kodu, użycia Face ID czy generowania jakichkolwiek powiadomień na urządzeniu ofiary. Wykorzystali oni podatność znaną od kilku lat. Apple i Visa wyjaśniają, o co chodzi.
W skrócie
- Eksperyment Veritasium i Marquesa Brownlee'a wykazał możliwość kradzieży 10 tys. dolarów z zablokowanego iPhone'a przez Apple Pay i NFC bez kodu czy Face ID.
- Ujawniona w 2021 roku podatność dotyczy funkcji Express Transit w połączeniu z kartą Visa i nie występuje przy innych operatorach czy usługach.
- Apple i Visa zapewniają, że nie odnotowano przypadków wykorzystania tej luki w świecie rzeczywistym, a posiadacze kart są chronieni polityką zerowej odpowiedzialności.
- Więcej podobnych informacji znajdziesz na stronie głównej serwisu, otwiera się w nowym oknie
Ukradli 10 tys. dolarów z zablokowanego iPhone'a przez Apple Pay
Popularny kanał popularnonaukowy Veritasium we współpracy z twórcą technologicznym Marquesem Brownlee (MKBHD) zaprezentował ciekawy eksperyment. Youtuberom udało się "ukraść" aż 10 tysięcy dolarów z zablokowanego iPhone'a za pośrednictwem Apple Pay. Nie trzeba było wpisywać kodu, używać Face ID ani generować jakichkolwiek powiadomień na urządzeniu ofiary. Atak opiera się na technice typu man-in-the-middle (dosł. "człowiek pośrodku"), w tym przypadku wykorzystującej technologię NFC.
Cały proces jest mocno skomplikowany i wymaga bezpośredniego dostępu fizycznego do telefonu oraz specjalistycznego sprzętu. Atak polega na oszukaniu iPhone'a w taki sposób, aby uznał on, że komunikuje się z terminalem biletowym w komunikacji miejskiej. Wykorzystywany jest do tego tryb ekspresowy (ang. Express Transit) w Apple Pay, który pozwala na szybkie opłacanie przejazdów bez konieczności odblokowywania urządzenia.
Aby przeprowadzić taki atak, przestępca musi zbliżyć specjalny czytnik NFC na odległość ok. 10 cm od telefonu ofiary i utrzymać go tam przez dłuższą chwilę. Urządzenie to, odpowiednio nastrojone na identyfikator terminala tranzytowego, przechwytuje sygnał i przekazuje dane do laptopa. Ten z kolei błyskawicznie przesyła informacje do odseparowanego, podstawionego smartfona, który w tym samym momencie zostaje zbliżony do legalnego, komercyjnego terminala płatniczego w celu sfinalizowania transakcji na dowolną kwotę.
Cała operacja to wyścig z czasem. Przechwycone dane uwierzytelniające muszą zostać wykorzystane natychmiast, co uniemożliwia masowe zbieranie danych na zapas w celu ich późniejszego użycia lub sprzedaży w sieci. Ale kradzież pieniędzy z portfela ad hoc jest niestety jak najbardziej możliwa.
Podatność jest znana od 2021 r. Dotyczy funkcji Express Transit
Podatność w Apple Pay nie jest nowym odkryciem. Luka została zidentyfikowana i zgłoszona firmom Apple oraz Visa już w 2021 roku przez informatyków i badaczy cyberbezpieczeństwa z uniwersytetów w Surrey i Birmingham (Wielka Brytania), o czym informowaliśmy wówczas w Interii GeekWeek. Mimo upływu 5 lat luka nadal nie została załatana. Wynika to w dużej mierze z faktu, że obie korporacje przerzucają się odpowiedzialnością.
Gigant z Cupertino stoi na stanowisku, że problem leży po stronie systemu Visa, ponieważ to wydawcy kart - a nie producenci telefonów - ustalają limity dla transakcji zbliżeniowych. Apple odpowiada jedynie za autoryzację typu terminala, nie kontroluje jednak kwot przechodzących przez Secure Element urządzenia.
Co istotne, problem dotyczy wyłącznie bardzo specyficznej konfiguracji. Atak jest skuteczny tylko wtedy, gdy użytkownik ma włączoną funkcję Express Transit i przypisał do niej kartę Visa. Eksperymenty wykazały, że zabezpieczeń nie da się obejść w przypadku kart Mastercard, American Express ani Discover, które stosują inne procedury bezpieczeństwa. Podatność nie dotyczy również kart miejskich ani urządzeń Samsung z usługą Samsung Pay.
Ponieważ do trybu ekspresowego można przypisać tylko jedną kartę, posiadacze Visy w cyfrowym portfelu są bezpieczni, o ile do samych płatności tranzytowych wybrali kartę innego operatora.
Visa uspokaja. "Posiadacze kart powinni nadal ich używać bez obaw"
Jak pokazali Veritasium i MKBHD, podatność jest aktywna i przy spełnieniu ściśle określonych warunków może doprowadzić do kradzieży z portfela znacznych sum pieniędzy. Mimo to zdaniem Apple'a i Visy nie stanowi ona realnego zagrożenia dla konsumentów. W ciągu 5 lat od jej odkrycia nie odnotowano ani jednego przypadku jej wykorzystania w świecie rzeczywistym (poza warunkami laboratoryjnymi czy eksperymentalnymi jak w przypadku omawianego testu na YouTube).
"Karty Visa połączone z Apple Pay Express Transit są chronione, a posiadacze kart powinni nadal ich używać bez obaw. Wariacje bezkontaktowych schematów oszustw są badane w warunkach laboratoryjnych od ponad dekady i udowodniono, że są niepraktyczne do wykonania na dużą skalę w świecie rzeczywistym" - przekazała Visa w oficjalnym oświadczeniu.
Operator przypomina również, że w razie jakichkolwiek nieprawidłowości posiadacze kart są chronieni polityką zerowej odpowiedzialności, co oznacza, że ewentualne skutki finansowe oszustwa bierze na siebie instytucja finansowa, a konsumenci mogą łatwo zakwestionować nieautoryzowane transakcje. Osoby, które mimo wszystko chcą całkowicie wyeliminować ryzyko, mogą w prosty sposób sprawdzić swoje ustawienia w menu iPhone'a, wchodząc w sekcję Portfel i Apple Pay, a następnie zmieniając status karty Express Transit na "Brak", co całkowicie dezaktywuje tę funkcję.
