Apple pay visa уязвимость

Apple pay visa уязвимость

Специалисты Школы компьютерных наук Бирмингемского университета и факультета компьютерных наук Университета Суррея, Великобритания обнаружили, что их метод может также быть использован для обхода бесконтактного лимита, позволяющего совершать транзакции на любую сумму. Их результаты будут представлены в докладе на конференции 2022 IEEE Symposium on Security and Privacy.

реклама

Исследователи обнаружили, что уязвимость возникает, когда карты Visa настроены на «режим экспресс-транзита» в кошельке iPhone. Режим транзита — это функция на многих смартфонах, которая позволяет пассажирам совершать быстрые бесконтактные мобильные платежи, например, на турникете станции метро, без аутентификации по отпечатку пальца.

Слабое место кроется в функционировании систем Apple Pay и Visa вместе и не влияет на работу других комбинаций, таких как Mastercard в айфонах или Visa в Samsung Pay.

При помощи простого оборудования для радиосвязи специалисты определили уникальную кодировку, транслируемую транзитными шлюзами, или турникетами. Этот код, который исследователи прозвали «волшебным байтом», позволяет осуществить разблокировку Apple Pay. Команда обнаружила, что с помощью этого кода они могут вмешиваться в процессы передачи сигналов между iPhone и считывающим устройством магазинной карты. Транслируя «волшебные байты» и изменяя некоторые другие параметры протокола, они смогли обмануть iPhone, «убедив» его, что он взаимодействует с пропускным пунктом, в то время как на самом деле он взаимодействует со считывающим устройством магазина.

В это время разработанный экспериментаторами способ позволяет убедить считывающее устройство магазина в том, что iPhone был успешно авторизован, в результате чего платежи на любую сумму могут быть осуществлены без ведома владельца iPhone.

Руководитель исследования — доктор Андреа Раду из Компьютерной школы Бирмингемского университета. Она сказала: » В нашем исследовании показан четкий пример того, как функционал, предназначенный для облегчения быта, дает сбой и негативно влияет на безопасность, что может иметь серьезные материальные проблемы для клиентов».

«Наши переговоры с Apple и Visa продемонстрировали, что в ситуации, когда две стороны несут частичную долю вины, никто из сторон не готов принимать на себя ответственность и внедрять исправления, тем самым на длительное время оставляя пользователей уязвимыми».

Соавтор исследования д-р Йоана Буреану из Центра кибербезопасности Университета Суррея отметила: «Мы продемонстрировали, как удобная функция в бесконтактных мобильных платежах способна снизить уровень безопасности. Тем не менее, мы также раскрыли модели бесконтактных мобильных платежей, такие как Samsung Pay, которые не только удобны для использования, но и безопасны. Пользователям Apple Pay не следует искать компромисс между безопасностью и удобством, но — в настоящий момент — это необходимо некоторым из них».

Соавтор работы д-р Том Чотиа, также сотрудник Бирмингемского университета, сказал: «Владельцам iPhone следует проверить, не настроена ли у них карта Visa для совершения оплаты транспортной карты, и если да, то отключить ее. Клиентам Apple Pay нет необходимости рисковать, но пока Apple или Visa не исправят ситуацию, они будут чувствовать себя в опасности».

Apple Pay и транзакция Visa.
Видео, как ретранслятор снимает 1000 фунтов стерлингов с заблокированного iPhone

Источник

Исследователи нашли способ осуществлять платежи с заблокированных iPhone с картой VISA

Метод представляет собой активную MitM-атаку воспроизведения и ретрансляции.

Исследователи из Университета Бирмингема и Университета Суррея в Великобритании обнаружили способ совершать мошеннические платежи с помощью Apple Pay с заблокированного iPhone с картой Visa. Метод представляет собой цифровую версию карманной кражи. Он работает по воздуху, даже если iPhone находится в сумке или в чьем-то кармане.

Специалисты изучали ретрансляционные атаки на бесконтактные платежи и обнаружили, что устройства iPhone подтверждают транзакции при определенных условиях. Для проведения платежа пользователям iPhone необходимо авторизовать его, разблокировав телефон с помощью Face ID, Touch ID или пароля. Однако в некоторых случаях, например при оплате проезда в общественном транспорте, разблокировка устройства делает процесс оплаты обременительным для пользователя. Apple Pay решила проблему с помощью функции Express Transit, позволяющей совершать транзакцию без разблокировки устройства.

Express Transit работает с турникетами и считывателями карт, которые отправляют нестандартную последовательность байтов, минуя экран блокировки Apple Pay. В сочетании с картой Visa эту функцию можно использовать для обхода экрана блокировки Apple Pay и совершения незаконной оплаты с заблокированного iPhone на устройство чтения EMV на любую сумму и без авторизации пользователя.

Исследователи смогли имитировать транзакцию, используя устройство Proxmark. Метод представляет собой активную MitM-атаку воспроизведения и ретрансляции, в ходе которой Proxmark воспроизводит «специальные байты» на iPhone, якобы совершая оплату билета без необходимости аутентификации пользователя.

Эксперты также смогли изменить показатели Card Transaction Qualifiers (CTQ), отвечающие за установку лимитов бесконтактных транзакций. В ходе эксперимента исследователи осуществили транзакцию на сумму 1 тыс. фунтов стерлингов с заблокированного iPhone. Атака была успешно протестирована на iPhone 7 и iPhone 12.

Тесты прошли успешно только с iPhone и картами Visa. В случае Mastercard выполняется проверка того, что заблокированный iPhone принимает транзакции только от считывателей карт с кодом транзитного продавца.

Результаты исследования были отправлены в Apple и Visa в октябре 2020 года и мае 2021 года соответственно, но ни одна из компаний не устранила проблему. Вместо этого техногиганты переложили бремя исправления друг на друга, поэтому уязвимость все еще присутствует и может быть использована с помощью стандартного оборудования и программного обеспечения.

Источник

Positive Technologies: уязвимости в Apple Pay, Samsung Pay и Google Pay позволяют совершать несанкционированные покупки

Для этого злоумышленнику требуется чужой смартфон с подключенной платежной картой и активированным транспортным режимом

Эксперт Positive Technologies Тимур Юнусов выступил в Лондоне на конференции по компьютерной безопасности Black Hat Europe, где представил подробности исследования уязвимостей систем мобильных платежей Apple Pay, Samsung Pay и Google Pay.

Обнаруженные уязвимости позволяют использовать для неограниченных покупок украденные смартфоны, на которых были активированы режимы оплаты общественного транспорта, не требующие разблокировки устройств. До июня 2021 года покупки могли осуществляться на любых торговых POS-терминалах, а не только в общественном транспорте. На Apple iPhone оплата доступна даже с помощью разряженных смартфонов.

До 2019 года Apple Pay и Samsung Pay не разрешали платежи, если телефон не был разблокирован с помощью отпечатка пальца, идентификатора лица или PIN-кода. Сейчас такая возможность есть, и она называется public transport schemes («режимы платежей в общественном транспорте» или режим транспортной экспресс-карты у Apple). В период с 28 апреля по 25 мая 2019 года только в Лондоне было оплачено более 48,38 миллиона поездок на поезде с использованием бесконтактных методов, таких как карты и мобильные кошельки. В 2018 году пассажиры Нью-Йоркского метро воспользовались бесконтактными платежами 3,37 миллиарда раз.

«Одним из преимуществ транспортных режимов в смартфонах является удобство использования, — объясняет Тимур Юнусов. — После того, как вы привязали банковскую карту (Visa, MasterCard или например American Express) к смартфону и активировали ее как транспортную карту, вы можете оплачивать поездки в метро или в автобусе без разблокировки устройства. Такая функция доступна, например, в США, Великобритании, Китае, Японии. Для осуществления атаки смартфоны Samsung Pay и Apple Pay должны быть зарегистрированы в этих странах, однако карты могут быть из любого другого региона. Украденные телефоны также можно использовать в любом регионе. Аналогичные действия можно совершить с помощью Google Pay».

В ходе экспериментов исследователи последовательно увеличивали сумму единоразовового списания, остановившись на 101 фунте стерлингов. Однако банки чаще всего не накладывают дополнительных ограничений и проверок при совершении платежей с использованием Apple Pay и Samsung Pay, считая эти системы мобильных платежей достаточно защищенными (один из примеров), поэтому суммы списаний могут быть значительно больше.

Как отмечает эксперт Positive Technologies, даже последние модели Apple iPhone, в том числе разряженные, позволяли исследователям совершать платежи на любых POS-терминалах. Для этого нужна была подключенная к смартфону карта Visa (с активированым режимом транспортной экспресс-карты) и положительный баланс на счету. В связи с отсутствием на момент исследования обязательной оффлайн-аутентификации (ODA Offline Data Authentication), украденным телефоном с подключенной картой Visa и активированным транспортным режимом, по словам Тимура Юнусова, можно пользоваться буквально в любой точке планеты, на различных POS-терминалах, как на Apple Pay, так и на Google Pay, без ограничений по суммам.

Что касается карт MasterCard, специалисты Positive Technologies смогли воспроизвести аналогичные действия, воспользовавшись недостатком, обнаруженным ранее экспертами из ETH Zurich. Позднее недостаток был устранен. На данный момент для совершения платежей по украденным телефонам с привязанными картами MasterCard и American Express злоумышленникам потребуется доступ к специальным модифицированным POS-терминалам.

В своем выступлении Тимур Юнусов дал рекомендации разработчикам платежных систем и мобильных кошельков, которые помогут им лучше бороться с мошенничеством, связанным с утерей и кражей смартфонов. Среди выявленных проблем — проблемы с аутентификацией Apple Pay и проверкой правильности полей, путаница в криптограммах AAC/ARQC, отсутствие проверки поля суммы для схем общественного транспорта и отсутствие проверок целостности поля MCC (касается всех трех платежных систем и кошельков), платежи Google Pay выше лимитов NoCVM и др.

Positive Technologies руководствуется принципами ответственного разглашения (responsible disclosure): всю имеющуюся у нас информацию о выявленных уязвимостях мы в первую очередь предоставляем производителю. Если мы не получаем от производителя письменный ответ в течение 90 дней, то оставляем за собой право публично опубликовать наши выводы в ограниченном формате, не упоминая сведения, которые позволили бы третьим сторонам использовать уязвимость.

Компании Apple, Google, Samsung были уведомлены нами в марте, январе и апреле 2021 года соответственно. Специалисты этих компаний сообщили, что не собираются вносить никаких изменений в свои системы, но попросили разрешения поделиться находками и отчетами с платежными системами, уверив нас, что уведомят их. Такое согласие с нашей стороны было дано, но представители платежных систем не выходили на контакт. Исследователи Positive Technologies, со своей стороны, пытались связаться с техническими специалистами Visa и Mastercard, но ответа от них не получили, при этом в конце сентября часть наших выводов повторила и обнародовала другая команда исследователей — из университетов Бирмингема и Суррея.

В 2017 году эксперты Positive Technologies обнаружили проблемы защищенности Apple Pay на смартфонах, которые могли приводить (и до сих пор приводят) к возможности совершения мошеннических платежей с помощью функции оплаты Apple Pay на сайтах. В 2019 году Ли-Энн Гэллоуэй и Тимур Юнусов выявили также возможность обхода лимита бесконтактных платежей карт Visa и мобильных кошельков Google Pay c картами Visa. Об уязвимостях в POS-терминалах Verifone, Ingenico и PAX, часть которых можно эксплуатировать удаленно, Positive Technologies рассказывала в 2020 и 2021 годах.

Источник

Уязвимость Apple Pay допускает оплату с карт Visa с заблокированного смартфона

Исследователи безопасности нашли способ совершать мошеннические платежи с помощью Apple Pay с заблокированного iPhone с привязанной картой Visa в цифровом кошельке с включенным экспресс-режимом.

GSMArena

Метод работает, даже если iPhone находится в сумке или в чьем-то кармане, и на нем нет лимита транзакций.

Изучая ретрансляционные атаки на бесконтактные платежи, исследователи из Университета Бирмингема и Университета Суррея в Великобритании обнаружили, что устройства iPhone подтверждают транзакции при определенных условиях.

Чтобы платеж прошел, пользователям iPhone необходимо авторизовать его, разблокировав телефон с помощью Face ID, Touch ID или пароля. Однако в некоторых случаях, например при оплате проезда в общественном транспорте, разблокировка устройства делает процесс оплаты обременительным для пользователя. Apple Pay решила эту проблему с помощью Express Transit, функции, которая позволяет проводить транзакции без разблокировки устройства. Express Transit работает для определенных служб, таких как турникеты, со считывателями карт, которые отправляют нестандартную последовательность байтов.

В случае с картой Visa «эту функцию можно использовать для обхода экрана блокировки Apple Pay и незаконной транзакции с заблокированного iPhone с помощью карты Visa любому устройству чтения EMV на любую сумму без авторизации пользователя».

Исследователи смогли сымитировать транзакцию, используя устройство Proxmark, выступающее в качестве кардридера, который взаимодействует с целевым iPhone и телефоном Android с чипом NFC. Данная атака представляет собой атаку воспроизведения и ретрансляции «злоумышленник посередине», когда Proxmark отправляет байты на iPhone, чтобы убедить систему в отсутствии необходимости аутентификации: «Атака работает, сначала воспроизводя Magic Bytes на iPhone, так что он считает, что транзакция происходит с транспортным считывателем EMV. При ретрансляции сообщений EMV квалификаторы терминальных транзакций (TTQ), отправляемые терминалом EMV, должны быть изменены таким образом, чтобы были установлены биты (флаги) для автономной аутентификации данных (ODA) для поддерживаемых онлайн-авторизаций и поддерживаемого режима EMV».

Углубившись в проблему, исследователи обнаружили, что они могут изменить квалификаторы карточных транзакций (CTQ), отвечающие за установку лимитов бесконтактных транзакций.

Эта модификация предназначена для того, чтобы обмануть кардридер. В ходе эксперимента исследователи смогли совершить транзакцию на сумму 1000 фунтов стерлингов с заблокированного iPhone. Они протестировали атаку на iPhone 7 и iPhone 12. Тесты прошли успешно только с картами iPhone и Visa.

В случае с Mastercard выполняется проверка, чтобы убедиться, что заблокированный iPhone принимает транзакции только от считывателей карт с кодом транзитного продавца.

Опробовав метод с Samsung Pay, исследователи обнаружили, что транзакции возможны с заблокированными устройствами. Однако поставщики транспортных услуг взимают плату за билеты на основе данных, связанных с этими транзакциями.

Результаты исследования были отправлены в Apple и Visa в октябре 2020 года и мае 2021 года соответственно, но проблему не устранили.

Ранее специалист в области кибербезопасности Бобби Раух обнаружил уязвимость в работе метки Apple AirTag, позволяющую похищать данные пользователей с iCloud путем межсайтового скриптинга. Суть эксплойта состоит в том, что во время перевода AirTag в режим потери злоумышленник может перехватить запрос и подменить данные в поле ввода контактного номера телефона на скрипт, который перенаправляет жертву на фишинговый сайт.

Кроме того, Apple все еще рассматривает три уязвимости нулевого дня в iOS (14.7, 14.8 и 15.0), подробную информацию о которых опубликовал пользователь Хабра Денис Токарев после того, как компания не реагировала на его находки более полугода. Apple также ничего не выплатила Токареву за его работу по программе вознаграждений Apple Security Bounty.

Источник