Onderzoekers in het VK hebben aangetoond hoe grote ongeautoriseerde contactloze betalingen kunnen worden gedaan op vergrendelde iPhones door misbruik te maken van Apple Pay 's Express Transit-functie wanneer ingesteld met Visa.
Express Transit is een Apple Pay functie die tap-and-go betalingen bij ticketbarrières mogelijk maakt, waardoor authenticatie met Face ID, Touch ID of een toegangscode niet meer nodig is. Het apparaat hoeft niet te worden geactiveerd of ontgrendeld om Express Transit te gebruiken.
Computerwetenschappelijke onderzoekers van de universiteiten van Birmingham en Surrey demonstreerden aan de BBC hoe de aanval werkt door gebruik te maken van een zwakte in het contactloze systeem van Visa door het gebruik van een klein stukje in de handel verkrijgbare radioapparatuur, die bij de telefoon wordt geplaatst en zich voordoet als een toegangsbarrière.
Een Android-telefoon met een door de onderzoekers ontwikkelde app wordt gebruikt om signalen van de iPhone naar een contactloze betaalterminal en wijzigt de communicatie om de terminal te laten doen alsof de iPhone is ontgrendeld en een betaling geautoriseerd.
Bij het demonstreren van de aanval hebben onderzoekers een contactloze Visa-betaling van £ 1.000 gedaan vanaf een vergrendelde iPhone. De wetenschappers haalden alleen geld van hun eigen rekeningen. De onderzoekers zeiden dat de gebruikte Android-telefoon en betaalterminal niet in de buurt van de iPhone zolang er een internetverbinding is.
Apple vertelde de BBC de zaak was een probleem met het Visa-systeem.
ik ben mijn airpods-hoesje in mijn huis kwijtgeraakt
'We nemen elke bedreiging voor de veiligheid van gebruikers zeer serieus', aldus Apple. 'Dit is een punt van zorg met een Visa-systeem, maar Visa gelooft niet dat dit soort fraude in de echte wereld zal plaatsvinden, gezien de meerdere beveiligingslagen die aanwezig zijn. In het onwaarschijnlijke geval dat er toch een ongeautoriseerde betaling plaatsvindt, heeft Visa duidelijk gemaakt dat hun kaarthouders worden beschermd door Visa's nul-aansprakelijkheidsbeleid.'
De onderzoekers zeiden dat de aanval het gemakkelijkst kan worden ingezet tegen een gestolen iPhone, hoewel er geen bewijs is dat de hack in het wild is gebruikt. Visa zei dat betalingen veilig waren en dat dit soort aanvallen buiten een laboratorium onpraktisch waren.
wanneer lanceert Apple een nieuwe iPhone
'Visa-kaarten die zijn aangesloten op Apple Pay Express Transit zijn veilig en kaarthouders moeten ze met vertrouwen blijven gebruiken', aldus een woordvoerder van Visa. 'Variaties van contactloze fraudeschema's zijn al meer dan tien jaar bestudeerd in laboratoriumomgevingen en zijn onpraktisch gebleken om in de echte wereld op grote schaal uit te voeren.'
De onderzoekers vertelden de BBC bijna een jaar geleden benaderden ze Apple en Visa voor het eerst met hun zorgen, maar ondanks 'nuttige' gesprekken is het probleem nog niet verholpen. De onderzoekers testten Express Transit ook met Mastercard, maar ontdekten dat de manier waarop de beveiliging werkt de aanval verhinderde.
'Het heeft enige technische complexiteit', zegt dr. Andreea Radu, van de Universiteit van Birmingham, die het onderzoek leidde. 'Maar ik heb het gevoel dat de beloningen van het doen van de aanval vrij hoog zijn. Over een paar jaar kunnen die een reëel probleem worden.'
Dr. Tom Chothia, eveneens verbonden aan de Universiteit van Birmingham, adviseerde iPhone gebruikers om te controleren of ze een Visa-kaart hebben ingesteld om Express Transit te gebruiken en zo ja, deze uit te schakelen. 'Het is niet nodig om Apple Pay gebruikers in gevaar, maar totdat Apple of Visa dit oplossen, zijn ze', zei hij.
Gerelateerde verzameling: Apple Pay Tags: Visa , Express Transit Gerelateerd Forum: Apple Music, Apple Pay/Card, iCloud, Fitness+
Populaire Berichten