За словами англійського дослідника, існує очевидна вразливість, яка може бути використана для викрадення грошей із заблокованого iPhone, коли картку Visa налаштовано з Apple Pay Express Transit. Коментар від Sophos.
Зручність і безпека в ІТ часто пов’язані так само, як свобода і безпека. Одне відбувається лише за рахунок іншого. Актуальним прикладом є функціонал Apple Pay «Express Transit»: невеликі суми можна оплачувати зручно, незважаючи на код блокування. Але згідно з останніми звітами, це може бути смертельно використано. Пол Даклін, експерт із безпеки Sophos, пояснює проблему.
Англійський дослідник знайшов уразливість iPhone
Ще не опублікована стаття британських дослідників потрапила в заголовки газет наприкінці вересня через драматичні заяви про Apple Pay: очевидна вразливість дозволяє викрасти гроші із заблокованого iPhone, коли картку Visa налаштовано з Apple Pay Express Transit. .
Ніколи не чули про Express Transit? Це одна з тих розумних ідей, які жертвують кібербезпекою заради зручності. Простіше кажучи, ця функція дозволяє виконувати деякі типи транзакцій Touch-to-Pay, навіть коли телефон заблоковано, якщо ввімкнено Express Transit.
Принцип оплати Apple Pay: оплачуйте без додаткового схвалення
З Express Transit Apple Pay і iPhone працюють як звичайна кредитна картка, яку не потрібно розблоковувати за допомогою PIN-коду для транзакцій на невелику суму. У більшості європейських країн цей ліміт становить від 25 до 50 євро.
Оплачувати через Express Transit за допомогою смартфона так само легко. Якщо надійшов запит на транзакцію, достатньо просто натиснути на заблокованому смартфоні, і гроші вже у одержувача. Це останнє клацання може статися ненавмисно, якщо користувач швидко «клацне» щось, тому що зараз його цікавить щось інше, або якщо цей один клацання спрацює непомітно для незнайомців, наприклад, у кафе чи в переповненому потязі. Тому що на відміну від кредитної картки, яку ви зазвичай зберігаєте в гаманці і виймаєте лише тоді, коли платіж дійсно настає в терміналі, мобільний телефон набагато частіше та помітніше присутній, наприклад, на столі.
Оплата не підтримує PIN-код, відбиток пальця чи розпізнавання обличчя
Щоб уникнути зловживання смартфоном, ми зазвичай блокуємо його за допомогою пін-коду або альтернативного механізму автентифікації, такого як відбиток пальця чи розпізнавання обличчя. На жаль, користувачі продовжують розблоковувати функції телефону на екрані блокування, знижуючи безпеку, яку в першу чергу покликано забезпечувати екран блокування — незалежно від того, чи він показує сповіщення та особисті повідомлення, коли телефон заблоковано, чи не використовує переваги використання Функція Apple Pay Express Transit.
Дослідники, які стоять за ще не опублікованою роботою, стверджують, що їм вдалося обманом змусити iPhone здійснювати шахрайські платежі за ретельно підготовлених обставин. Вони встановили власний платіжний термінал і замаскували його під транспортну компанію, яка входить до платіжної системи Express Transit.
Дослідники, ймовірно, відрахували до 1.000 євро!
Очевидно, вони встигли вкрасти лише за допомогою карткових рахунків Visa (імовірно, інші платіжні провайдери були суворішими у вирішенні, чи справді платіжний термінал X належить компанії Y), і навіть гірше: платежі не були обмежені звичайним лімітом близько 50 євро. Дослідники стверджують, що за допомогою шахрайського платіжного терміналу вони могли здійснювати транзакції на суму понад 1.000 євро.
Apple Pay Express Transit: що робити?
Незважаючи на такий вражаючий результат, власникам iPhone не варто панікувати, але звіт є приводом переглянути використання власних смартфонів. Загалом, користувачі повинні двічі подумати про винятки, які вони допускають на заблокованому телефоні. Чи справді це тягар — вводити код блокування під час кожної дії? Якщо ви відповісте так, вам доведеться жити з ризиками. Для всіх, хто почуває себе в безпеці завдяки процесу розблокування, ось ще кілька порад:
- Відмова від Express Transit та всіх інших функцій, активних на екрані блокування. Ці параметри неминуче жертвують безпекою заради зручності.
- Поки що слід уникати використання Express Transit у поєднанні з карткою Visa. Щоб бути справедливими щодо Visa, ми припускаємо, що, доклавши достатніх зусиль, подібні трюки обходу можна знайти й для інших платіжних постачальників. Якщо ви справді хвилюєтесь і не можете жити без Express Transit, вам слід створити передплачену дебетову картку з помірним балансом. Принаймні, тоді крадіжка можлива лише для кредиту, а не для кредитної лінії кредитної картки.
- Ніколи не залишайте телефон без нагляду і виймайте його лише тоді, коли ним користуєтеся. В іншому випадку тримайте його в руці або тримайте в кишені.
- Необхідно використовувати найкращий код блокування та найкоротший період автоматичного блокування. Заблокований телефон – це незначна незручність, але серйозна перешкода для шахраїв, навіть технічно підкованих. Розблокований телефон, навпаки, є відкритою мішенню для будь-кого, навіть найпростішого з дрібних злочинців.
- Регулярно перевіряйте виписки з банківських рахунків і платіжних карток. Якщо використовувати Express Transit для регулярних і передбачуваних платежів, наприклад, у громадському транспорті, нестандартні бронювання легко помітити.
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.