Если вы пользуетесь iPhone то, скорее всего, пользуетесь и Apple Pay. Это удобно: все ваши карточки в одном месте, и для оплаты даже не нужно убирать телефон — можно просто приложить его к терминалу. Но, как бы Apple не хвалилась тем, что с новой версией iOS девайсы стали ещё защищённей, уязвимости в Apple Pay и Visa всё ещё находятся — например, хакеры могут обойти экран блокировки Apple Pay и осуществлять бесконтактные платежи на любую сумму, говорится в исследовании Бирмингемского университета и Университета Суррея. На Симпозиуме по безопасности и конфиденциальности 2022 IEEE исследователи показали, что уязвимость возникает, когда карты Visa настроены на режим транспортной экспресс-карты в приложении «Wallet».
Используя простое радиооборудование, команда определила уникальный код, передаваемый транзитными воротами и турникетами. Этот код, который исследователи прозвали «волшебным байтом», разблокирует Apple Pay — а злоумышленники могут использовать этот код для вмешательства в сигналы, проходящие между iPhone и считывателем магазинных карт. Передавая «волшебные байты» и изменяя другие поля протокола, исследователи смогли обмануть iPhone, заставив его думать, что он коммуницирует с пропускным пунктом, тогда как на самом деле он разговаривал со считывающим устройством магазина.
В то же время, метод исследователей убеждает считывающее устройство магазина в том, что iPhone успешно прошел авторизацию, поэтому платежи на любую сумму могут быть приняты без ведома пользователя iPhone.
Наша работа показывает наглядный пример того, как функция, призванная постепенно облегчить жизнь, дает обратный эффект и негативно влияет на безопасность, что потенциально может иметь серьезные финансовые последствия для пользователей. Наши обсуждения с Apple и Visa показали, что когда две стороны отрасли несут частичную вину, ни одна из них не готова взять на себя ответственность и внедрить исправление, оставляя пользователей уязвимыми на неопределенный срок — сказала руководитель исследования, доктор Андреа Раду из Школы компьютерных наук Бирмингемского университета.
Соавтор исследования, доктор Йоана Буреану из Центра кибербезопасности Университета Суррея, добавила:
Мы показали, как удобная функция в бесконтактных мобильных платежах может снизить уровень безопасности. Но мы также раскрыли дизайн бесконтактных мобильных платежей, например, Samsung Pay, который является одновременно удобным и безопасным. Пользователям Apple Pay не следует искать компромисс между безопасностью и удобством, но — на данный момент — некоторые из них просто вынуждены это делать.
Другой соавтор, доктор Том Чотиа, советует владельцам iPhone проверить, настроена ли у них карта Visa для транзитных платежей, и, если да, то отключить ее. По его словам, пока Apple или Visa не исправят ситуацию, они будут в опасности.