maybe_elf Sep 30 2021 at 07:29

Уязвимость Apple Pay допускает оплату с карт Visa с заблокированного смартфона

3 min

Information Security * Payment systems * Development for iOS * SmartphonesFinance in IT

+12

Comments 16

scorp_nv Sep 30 2021 at 08:20

Про самсунг пэй, как-то непонятно написано. Трудности перевода?

p.s. почитал оригинал, там samsung pay только в заголовке упоминается, что он не подвержен данной атаке. А последняя картинка идёт про андроид телефоны и NFC. Там идёт речь про уязвимость протокола Visa-L1 в целом, которая позволяет перехватить данные рутованным телефоном и подменить UID карты.

barbadian Sep 30 2021 at 09:28

>> В ходе эксперимента исследователи смогли совершить транзакцию на сумму 1000 фунтов стерлингов с заблокированного iPhone.

Транзакция прошла на счет предприятия в банке. Как эти деньги дальше вывести?

CherryPah Sep 30 2021 at 10:06

С технической стороны это не перестает быть уязвимостью, дальнейшая цепочка по выводу средств - проблема других участников, а не Apple Pay.

"Биткоины" купить например

barbadian Sep 30 2021 at 10:10

Технически не перестает быть уязвимостью и "люди, которые прикладывают POS-терминал в метро к вашей сумке, где карты лежат". Но как деньги то вывести со счета? Оформить банковский счет для ООО сейчас весьма нетривиальная задача.

CherryPah Sep 30 2021 at 11:03

1) Воспользоваться терминалом фирмы, зарегистрированной в какой-нить Нигерии или подобном мировом финансовом центре, где регистрация фирмы и процесс обнала максимально упрощен.

2) Уже отработанная кардерская практика с дропами и/или покупкой дорогих материальных ценностей, легко конвертируемых обратно в деньги на вторичном рынке, за чужой счет. Купить айфон, расплатиться картой из чужой сумки, толкнуть айфон на ебее.

3) Совместить оба варианта, присыпать сверху криптой - вывести на терминал покупку "биткоина" из обменника на Каймановых островах. С учетом того что крипта очень много где так и не обрела какой-либо официальный статус (денег, ценных бумаг, материальной ценности) то несчастливый покупатель может в дальнейшем оказаться в ситуации - нет тела - нет дела.

PS. Возможность снятия большой денежной суммы со счета без подтверждения (ввода pin/cvv/touchid/faceid/etc) является уязвимостью. Как реализовать ее на практике - да банально телефон у вас дернут на улице из кармана и бегом в п2 - разблокировать то его для оплаты не нужно.

Kuklachev Sep 30 2021 at 19:13

Что в ней нетривиального? Приходишь в банк и заводишь. И зачем обязательно ООО? Достаточно и ИП. Которое на бомжа какого-нибудь оформлено

Norno Oct 7 2021 at 11:36

Телефон могут украсть, и оплатить данным способом что-то в совершенно обычном магазине. Кража телефона всегда не приятное явление, а в данном случае степень неприятности возрастает многократно.

yett Sep 30 2021 at 11:04

Т.е сама apple признала что их способ разблокировки не удобный? У меня смартфон с датчиков сзади и никаких проблем в разблокировке смарфтона, в то время пока я достаю его для оплаты из кармана, нет.

Livixx Sep 30 2021 at 11:04

Эпл вообще такие умные, что помимо этого бага, сделали одну уязвимость как я слышал, если уже что-то изменили - поправьте. У новой iOS есть функция оплаты если телефон выключен, это вроде опционально, т.е. если телефон сел и включена эта функция - можно оплатить будет в экстренном случае, с одной стороны удобно, с другой не сказал бы. Простой пример можно привести, владелец нового iphone 13 pro включил данную функцию, через некоторое время у него украли телефон или он потерял, некоторые люди будут пытаться связаться с владельцем и вернуть как и правильно, но есть те, кто могут выключить телефон и обналичить все средства с карты, если владелец не позвонил ещё в банк и не заблокировал карту. Выходит, есть ещё одна уязвимость с помощью которой можно стать жертвой.

vd0 Sep 30 2021 at 19:13

А разве там лимита нету? В Нидерландах можно без пин кода заплатить до 50 евро, все что выше надо вводить пин код.

Livixx Sep 30 2021 at 19:14

Лимит есть. Но в рашке было 1к, теперь как ходит слух 5к стало.

Sarymian Sep 30 2021 at 23:44

Так я вот ни чего не понял, в лучших традициях статей Хабраредактора, поэтому вопрос к тем, кто читал оригинал и разобрался:

Я правильно понял, что чтобы "совершить атаку" карта в настройках должна быть добавлена в раздел "Экспресс-карт"?

В самих же настройках iPhone написано: "Выбранная транспортная экспресс-карта работает без Touch ID или код-пароля".

Т.е. я правильно понял, что люди свою финансовую (не транспортную) карту помечают как экспресс и потом удивляются - а почему это она провела платёж?

Gordon01 Oct 1 2021 at 00:23

Так за все время и не понял, что мешало Apple сделать как на андроиде: транзакциям до 1000 авторизация не нужна.
Зачем вся эта возня, которая еще и дырявой оказалась?

bus_pro Oct 2 2021 at 07:24

сделать как на андроиде: транзакциям до 1000 авторизация не нужна

что значит авторизация не нужна? а разблокировать телефон - разве это не авторизация? Если бы можно с разблокированного телефона снимать, то что мешало бы с немного модифицированным терминалом в толпе деньги снимать?

Gordon01 Oct 2 2021 at 23:56

Есть три состояния: экран не горит, экран горит и экран разблокирован. Для того, чтобы разблокировать экран, надо пройти авторизацию.

Vivaldi23 Oct 24 2021 at 16:41

Экспресс оплата так и должна работать, где «уязвимость»? Ох уж эти разоблачители эппл ?