Badacze znaleźli sposób, by, mimo aktywowanej blokady ekranu, dokonywać zakupów z konta użytkownika iPhone’a, do którego podłączona jest karta Visa ustawiona w trybie ekspresowym dla karty transportu publicznego.

Naukowcy z University of Birmingham i University of Surrey wykazali, że atakujący mogą nie tylko ominąć blokadę ekranu Apple Pay, ale także limit transakcji dla płatności zbliżeniowych.

Luki w zabezpieczeniach iPhone i Visa

Do przeprowadzenia skutecznego ataku wystarczy skradziony iPhone z włączonym zasilaniem. Co więcej, nieautoryzowane transakcje mogą być dokonywane także wtedy, gdy urządzenie znajduje się na przykład w bagażu ofiary. Skuteczny atak w tych okolicznościach jest możliwy dzięki wykorzystaniu kombinacji luk w zabezpieczeniach systemu płatności Apple Pay i Visa.

Dokonując płatności za pośrednictwem aplikacji na smartfonie, użytkownik zwykle musi uwierzytelnić transakcję za pomocą jednej z wbudowanych w iPhone funkcji biometrycznych, takich jak skan odcisku palca bądź Face ID. Innym sposobem jest podanie kodu PIN.

Jednak w maju 2019 roku Apple wprowadził funkcję „Ekspresowy tranzyt/podróż”, która umożliwia korzystanie z Apple Pay bez odblokowywania telefonu. Została wprowadzona, aby ułatwić płatności na stacjach transportowo-biletowych, takich jak na przykład bramki autostradowe.

NIGDY nie używaj publicznych ładowarek USB!

Naukowcy z brytyjskich uczelni wykazali, że tę funkcję można wykorzystać, aby ominąć ekran blokady Apple Pay i zapłacić kartą Visa z zablokowanego iPhone’a, bez autoryzacji użytkownika, dowolną kwotę, wykorzystując do tego celu emulator czytnika inteligentnych kart płatniczych (EMV). Ten rodzaj ataku, sklasyfikowany jako Man-in-the-Middle (MitM), wymaga, aby iPhone miał skonfigurowaną kartę Visa do płatności oraz włączony tryb „Express Travel”, a ofiara była w niewielkiej odległości od napastnika.

Do przeprowadzenia testu naukowcy z uniwersytetów w Birmingham i Surrey wykorzystali Proxmark, który działał jako emulator czytnika kart oraz telefon z Androidem i obsługą NFC (standard komunikacji pozwalający na bezprzewodową wymianę danych na odległość do 20 centymetrów), który był używany jako emulator karty do komunikacji z terminalem płatniczym.

Zespół badaczy przeprowadzający eksperyment był w stanie zrealizować transakcje o wartości 1000 GBP (obecnie ponad 5000 złotych).

Jak zapobiec atakowi?

– W praktyce atak polega na tym, że wykorzystując specjalnie do tego celu skonstruowane urządzenie płatnicze, atakujący, dysponujący fizycznym dostępem do smartfona, może wykraść pieniądze z karty Visa, jeśli tylko został włączony dla niej tryb tzw. „ekspresowej podróży” w usłudze Apple Pay – wyjaśnia Kamil Sadkowski, starszy specjalista ds. cyberbezpieczeństwa w ESET.

– Choć przeprowadzony eksperyment pokazuje, że blokada telefonu niekoniecznie musi być dla hakerów barierą nie do pokonania, to niewątpliwie blokowanie smartfona może pomóc minimalizować ryzyko wielu nieprzyjemnych incydentów z zakresu cyberbezpieczeństwa. Aktywna blokada telefonu uniemożliwia niepowołany dostęp do urządzenia, na przykład w sytuacji jego zgubienia lub kradzieży. Optymalnym rozwiązaniem jest stosowanie kombinacji ustawień zabezpieczających, takich jak trudny do odgadnięcia kod PIN lub złożone hasło w połączeniu ze skanem odcisku palca lub twarzy – radzi ekspert.