Изследователи по сигурността откриха нова вратичка в механизма на Apple Pay, която може да постави потребителите на iPhone в риск да бъдат ограбени. Притеснително е, че кражбата е напълно безжична, така че жертвата може да не разбере, че е била ограбена до часове или дни по-късно.
Apple Pay се счита за един от най-сигурните методи за безконтактно плащане, използвани днес. Така че е изключително необичайно да се чуе за уязвимост като тази.
Как работи хакът на Apple Pay
Хакът на Apple Pay работи, като заблуждава iPhone на жертвата да си мисли, че е близо до безконтактна бариера за билети като тези, които се намират в системите на метрото в повечето големи градове. Използвайки малко радиоустройство, iPhone е подведен да активира функцията „Експресен транзит“ на Apple Pay.
Радиоустройството е свързано с друг мобилен телефон, който след това препраща плащането към картов терминал. Картовият терминал задейства дебитно плащане, което приспада пари – до £1000 – от разплащателната карта на жертвата в Apple Pay.
Express Transit е проектиран да направи бързо и лесно преминаването на пътниците през порталите за плащане. Те могат просто да докоснат телефона си върху четеца на карти, за да извършат автоматично плащане – няма нужда да отключват своя iPhone, да въвеждат ПИН номер или да потвърждават сумата, която се плаща. Целият процес е „мълчалив“, така че жертвата не осъзнава какво се е случило.
На теория хакер може да стои на претъпкано място и да задейства стотици измамни плащания всеки час, използвайки тази техника.
Просто хак за доказване на концепцията. За сега
Добрата новина е, че този хак изглежда все още не е бил използван от престъпници. Вратичката е открита от изследователи по сигурността, които се опитват да намерят – и да поправят – проблеми, преди да може да се злоупотреби с тях..
Вратичката също засяга само карти Visa, които са конфигурирани за използване с Express Transit. Потребителите на карти MasterCard и American Express не могат да бъдат „измамени“ с помощта на този хак.
Изследователите все още не са потвърдили дали този хак засяга и Apple Watch, който също има функция за експресно плащане.
Как да се предпазите
Въпреки че хакът на Apple Pay все още не е копиран от престъпници, е много вероятно те да опитат нещо подобно в бъдеще. За щастие има два начина, по които можете да се защитите сега:
Променете настройките на Express Transit, като изберете карта, която не е Visa.
Ако не го използвате, изберете „Няма“ в настройките на вашата Express Travel Card (ще го намерите в настройките „Wallet & Apple Pay“ на вашия iPhone.
Деактивирането на Express Transit също няма да ви попречи да използвате вашия iPhone, за да плащате за пътуване – просто ще трябва да се уверите, че използвате FaceID или TouchID, за да активирате портфейла си, когато се приближите до бариерата за билети.
Може също да си струва да приложите тези промени към вашия Apple Watch, само в случай, че и те са уязвими за хакване.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
AntivirusBG – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08