Apple Pay z poważną luką zabezpieczeń - możliwa kradzież pieniędzy
Narażeni są posiadacze kart Visa.
Badacze z Uniwersytetu Surrey odkryli poważną lukę w systemie płatności Apple Pay. Pozwala ona pobrać pieniądze z konta użytkownika bez autoryzacji, nawet jeśli telefon jest zablokowany. Problem dotyczy posiadaczy kart Visa.
Znaleziony błąd pozwala przesłać z konta ofiary nawet 1000 funtów z pominięciem dziennych limitów płatności. Luka powiązana jest z funkcją Express Transit, umożliwiającą płatność telefonem za bilety transportu publicznego w kilku europejskich miastach, m.in. Londynie czy Mińsku - informuje BBC, którego redaktorzy widzieli demonstrację ataku przeprowadzoną przez badaczy.
W zaprezentowanej sytuacji, do kradzieży pieniędzy potrzebny jest terminal płatności zbliżeniowych, urządzenie z systemem Android i specjalnie przygotowaną aplikacją oraz transmiter sygnałów radiowych RFID podłączony do laptopa.
W czasie ataku przestępca uruchamia w aplikacji skrypt, wysyłający z transmitera informacje oszukujące iPhone'a ofiary, że użytkownik dokonał właśnie zakupu biletu. Fikcyjna płatność jest następnie odbierana przez przygotowany terminal.
Badacze przekazali, że o istnieniu błędu poinformowano zarówno firmę Apple, jak i Visa. Według Apple, problem leży po stronie systemu Visa, jednak operator kart przekonuje, że kradzież pieniędzy omówioną metodą jest na tyle trudne do przeprowadzenia, że klienci są bezpieczni.