Изследователи по сигурността откриха нова вратичка в механизма на Apple Pay, която може да постави потребителите на iPhone в риск да бъдат ограбени. Притеснително е, че кражбата е напълно безжична, така че жертвата може да не разбере, че е била ограбена до часове или дни по-късно.
Apple Pay се счита за един от най-сигурните методи за безконтактно плащане, използвани днес. Така че е изключително необичайно да се чуе за уязвимост като тази.
Хакът на Apple Pay работи, като заблуждава iPhone на жертвата да си мисли, че е близо до безконтактна бариера за билети като тези, които се намират в системите на метрото в повечето големи градове. Използвайки малко радиоустройство, iPhone е подведен да активира функцията „Експресен транзит“ на Apple Pay.
Радиоустройството е свързано с друг мобилен телефон, който след това препраща плащането към картов терминал. Картовият терминал задейства дебитно плащане, което приспада пари – до £1000 – от разплащателната карта на жертвата в Apple Pay.
Express Transit е проектиран да направи бързо и лесно преминаването на пътниците през порталите за плащане. Те могат просто да докоснат телефона си върху четеца на карти, за да извършат автоматично плащане – няма нужда да отключват своя iPhone, да въвеждат ПИН номер или да потвърждават сумата, която се плаща. Целият процес е „мълчалив“, така че жертвата не осъзнава какво се е случило.
На теория хакер може да стои на претъпкано място и да задейства стотици измамни плащания всеки час, използвайки тази техника.
Добрата новина е, че този хак изглежда все още не е бил използван от престъпници. Вратичката е открита от изследователи по сигурността, които се опитват да намерят – и да поправят – проблеми, преди да може да се злоупотреби с тях..
Вратичката също засяга само карти Visa, които са конфигурирани за използване с Express Transit. Потребителите на карти MasterCard и American Express не могат да бъдат „измамени“ с помощта на този хак.
Изследователите все още не са потвърдили дали този хак засяга и Apple Watch, който също има функция за експресно плащане.
Въпреки че хакът на Apple Pay все още не е копиран от престъпници, е много вероятно те да опитат нещо подобно в бъдеще. За щастие има два начина, по които можете да се защитите сега:
Променете настройките на Express Transit, като изберете карта, която не е Visa.
Ако не го използвате, изберете „Няма“ в настройките на вашата Express Travel Card (ще го намерите в настройките „Wallet & Apple Pay“ на вашия iPhone.
Деактивирането на Express Transit също няма да ви попречи да използвате вашия iPhone, за да плащате за пътуване – просто ще трябва да се уверите, че използвате FaceID или TouchID, за да активирате портфейла си, когато се приближите до бариерата за билети.
Може също да си струва да приложите тези промени към вашия Apple Watch, само в случай, че и те са уязвими за хакване.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.