Security Week 40: кража денег через Apple Pay

Все блоги / Про интернет 4 октября 2021 30   
29 сентября исследователи из университетов Бирмингема и Суррея показали способ снятия средств с телефонов Apple, на которых активирована функция Apple Pay с использованием карты Visa (новость, сайт проекта, препринт научной работы). Важное дополнение: снятие средств не требует подтверждения пользователя путем разблокировки телефона, то есть можно инициировать мошенническую транзакцию без ведома владельца. Как и недавнее исследование из Швейцарии, атака предполагает передачу данных с телефона жертвы на платежный терминал через связку из двух устройств — приемника и передатчика, которые могут находиться на большом расстоянии друг от друга.



Не очень понятно, как квалифицировать данную недоработку — как уязвимость или как стандартную функциональность платежной системы. При выполнении некоторых условий списание средств с Apple Pay намеренно не требует разблокировки телефона. Например, при оплате на транспорте или в других условиях, где требуется быстрая авторизация, а соединение с интернетом может быть нестабильным. По идее, такая транзакция, как и оплата картой без подтверждения, должна иметь ограничение по сумме платежа. По факту же авторам исследования удалось обойти и это ограничение: в видеоролике на сайте проекта они демонстрируют снятие тысячи фунтов с заблокированного айфона.
Читать дальше →
  • Оцените публикацию
  • 0

Похожие публикации

@
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Архив публикаций