Исследователи в области информационной безопасности обнаружили новую лазейку в механизме Apple Pay, которая может подвергнуть пользователей iPhone риску ограбления. Причем в силу того, что кража осуществляется в бесконтактном режиме, жертва может понять, что ее ограбили, только через несколько часов или дней.
Apple Pay считается одним из самых безопасных на сегодняшний день способов бесконтактной оплаты. Поэтому крайне необычно слышать о подобной уязвимости.
Как взламывают Apple Pay
Взлом Apple Pay заключается в обмане iPhone жертвы, в результате чего смартфон «думает», что находится рядом с бесконтактным турникетами и считывателями карт подобным тем, что встречаются в метро в большинстве крупных городов. Используя небольшое радиоустройство, на iPhone обманным путем активируется функция Express Transit в Apple Pay.
Радиоустройство подключено к другому мобильному телефону, который затем передает платеж на терминал карты. Терминал карты запускает дебетовый платеж, который списывает деньги – до 1000 фунтов стерлингов – с платежной карты жертвы в Apple Pay.
Функция Express Transit предназначена для мгновенной оплаты проезда в общественном транспорте. Пользователь может просто приложить свой смартфон к считывателю карт, чтобы осуществить автоматический платеж – при этом нет необходимости разблокировать iPhone, вводить PIN-код или подтверждать оплачиваемую сумму. Весь процесс проходит в скрытом режиме и полностью автоматически, поэтому жертва не осознает, что произошло.
Теоретически, хакер может стоять в людном месте и запускать сотни мошеннических платежей каждый час, используя эту технику.
Пока только потенциальный характер взлома
Хорошей новостью является то, что подобный взлом, похоже, еще не используется преступниками (по крайней мере, массово). Лазейка была обнаружена специалистами по информационной безопасности, которые пытаются найти (и устранить!) проблемы прежде, чем ими можно будет злоупотреблять.
Кроме того, лазейка затрагивает только карты Visa, настроенные для использования с функцией Express Transit. Пользователей карт MasterCard и American Express нельзя «обмануть» с помощью этого взлома.
Исследователи еще не подтвердили, влияет ли этот взлом на Apple Watch, которые также имеют функцию оплаты Express Transit.
Как защитить себя
Хотя взлом Apple Pay еще не был взят на вооружение преступниками, весьма вероятно, что они попытаются сделать что-то подобное в самом ближайшем будущем. К счастью, на текущий момент существует два способа защитить себя:
Измените ваши настройки функции Express Transit, выбрав другую карту, не Visa.
Если вы не пользуетесь данной функцией, то выберите значение « None » («Нет») в настройках вашей карты Express Travel Card (вы можете найти ее в настройках «Wallet & Apple Pay» на вашем устройстве iPhone).
Отключение функции Express Transit не помешает вам использовать свой iPhone для оплаты проезда - вам просто нужно будет использовать FaceID или TouchID для активации своего кошелька при приближении к считывателю карт или турникету.
Возможно, также стоит применить эти изменения и в настройках ваших смарт-часов Apple Watch – на всякий случай, если они вдруг тоже уязвимы для взлома.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.