Skip to main content

Apple Pay z poważną luką zabezpieczeń - możliwa kradzież pieniędzy

Narażeni są posiadacze kart Visa.

Badacze z Uniwersytetu Surrey odkryli poważną lukę w systemie płatności Apple Pay. Pozwala ona pobrać pieniądze z konta użytkownika bez autoryzacji, nawet jeśli telefon jest zablokowany. Problem dotyczy posiadaczy kart Visa.

Znaleziony błąd pozwala przesłać z konta ofiary nawet 1000 funtów z pominięciem dziennych limitów płatności. Luka powiązana jest z funkcją Express Transit, umożliwiającą płatność telefonem za bilety transportu publicznego w kilku europejskich miastach, m.in. Londynie czy Mińsku - informuje BBC, którego redaktorzy widzieli demonstrację ataku przeprowadzoną przez badaczy.

Zobacz na YouTube

W zaprezentowanej sytuacji, do kradzieży pieniędzy potrzebny jest terminal płatności zbliżeniowych, urządzenie z systemem Android i specjalnie przygotowaną aplikacją oraz transmiter sygnałów radiowych RFID podłączony do laptopa.

W czasie ataku przestępca uruchamia w aplikacji skrypt, wysyłający z transmitera informacje oszukujące iPhone'a ofiary, że użytkownik dokonał właśnie zakupu biletu. Fikcyjna płatność jest następnie odbierana przez przygotowany terminal.

Badacze przekazali, że o istnieniu błędu poinformowano zarówno firmę Apple, jak i Visa. Według Apple, problem leży po stronie systemu Visa, jednak operator kart przekonuje, że kradzież pieniędzy omówioną metodą jest na tyle trudne do przeprowadzenia, że klienci są bezpieczni.

Zobacz także