Исследователи рассказывают об уязвимостях в Apple Pay, Google Pay и PayPal.
Группа исследователей из Массачусетского университета и Государственного университета Пенсильвании обнаружила критические уязвимости в популярных цифровых кошельках Apple Pay, Google Pay и PayPal. Их исследование, представленное на недавней конференции Usenix Security 2024, показало, что злоумышленники могут добавлять в свои цифровые кошельки номера украденных кредиток и совершать с ними покупки, даже если владелец решил заблокировать карту.
По словам Раджи Хаснайна Анвара, докторанта кафедры электротехники и информатики UMass Amherst и ведущего автора исследования, главная проблема – бреши в системах аутентификации приложений для цифровых кошельков и банков США.
Типичный сценарий такой атаки выглядит следующим образом. Сначала злоумышленник (назовем его Саша) крадет кредитную карту. Зная имя держателя карты, напечатанное на ней, Саша определяет адрес жертвы, используя онлайн-базы данных. Затем он пытается добавить украденную карту в различные цифровые кошельки. Поскольку каждый кошелек использует разные методы аутентификации, преступник выбирает тот, где для подтверждения достаточно указать адрес или почтовый индекс.
После этого Саша может продолжать пользоваться кредиткой, даже если владелец ее заблокирует. Проблема в том, что банки не проверяют, действительно ли кошелек принадлежит держателю карты при обновлении токена авторизации. Вместо этого они автоматически переносят токен на новую карту, выпущенную взамен утраченной.
Кроме того, банки разрешают проведение повторяющихся транзакций, даже если карта заблокирована. Это тоже можно использовать в атаке. Например, Саша может зарегистрироваться на сайте Turo.com, добавить туда скомпрометированный счет как способ оплаты, а затем забронировать и оплатить поездку. Несмотря на то, что кредитка неактивна, Turo все равно проведет оплату, маркируя ее как «повторяющуюся».
Злоумышленник также может обмануть банк, чтобы тот использовал менее надежные методы аутентификации при добавлении карты в цифровой кошелек. Вместо двухфакторной аутентификации (SMS, email или звонок) Саша может просто ввести дату рождения и последние 4 цифры СНС, которые часто можно найти в открытых источниках. В магазинах кассиры тоже не обязаны проверять личность держателя карты — достаточно верификации устройства.
Исследователи сообщили о найденных уязвимостях ведущим банкам и разработчикам кошельков в апреле 2023 года. Google подтвердил, что работает над их устранением, однако другие компании пока не предприняли ответных действий. Apple, PayPal и Bank of America не отвечают на запросы журналистов.
От классики до авангарда — наука во всех жанрах