Výzkumníkům z univerzit v Birminghamu a Surrey se podařilo prokázat zranitelnost platební metody Apple Pay. V experimentálním nastavení IT experti ukázali, jak lze stahovat peníze z karet VISA, aniž by se o tom dozvěděl majitel. Informovala o tom BBS ve svém příspěvku "Researchers find Apple Pay, Visa contactless hack".
Apple Pay: experti prokázali bezpečnostní chybu – neoprávněné stržení 1000 liber
Bezkontaktní metoda platby prostřednictvím mobilního telefonu se stala velmi oblíbenou. Nyní se expertům podařilo identifikovat závažnou chybu v Apple Pay. Testovali také kartu Mastercard, ale zjistili, že způsob jejího zabezpečení útoku zabránil. | Zdroj: CardMapr/Unsplash
Proběhlo to následovně: výzkumníkům se podařilo obelstít telefony iPhone malým mobilním zařízením, které smartphone považoval za prodejní automat na jízdenky. Podle expertů se problém týká VISA karet, které mají v peněžence iPhonu nastavenou funkci "Express Transit".
Jde o funkci Apple Pay, která lidem, kteří často využívají veřejnou dopravu, umožňuje provádět rychlé bezkontaktní platby bez nutnosti odemykání telefonu. Například při nastupování a vystupování do metra.
Pomocí simulovaného automatu se expertům podařilo strhnout nejen drobné částky. Podařilo se jim iPhone oklamat tak, že se už považoval za odemčený, a v experimentálním režimu si tak ze svých účtů bez upozornění strhli až 1000 liber. A k tomu všemu stačí, aby se k mobilnímu telefonu přiblížilo pouze jedno malé zařízení.
Apple a VISA: žádná reakce na bezpečnostní mezeru zatím nepřišla
Výzkumníci informovali obě společnosti o bezpečnostní mezeře už takřka před rokem. Společnost VISA se domnívá, že žádné reálné nebezpečí nehrozí. "Různé varianty bezkontaktních podvodných schémat se v laboratorních podmínkách zkoumají už více než deset let. Jejich použití ve větším měřítku v reálném světě se ukázalo jako nepraktické", cituje BBC poskytovatele finančních služeb.
Apple také považuje zneužití tohoto triku za nereálné. Vzhledem k tomu, že pachatelé by se museli se zařízením dostat do těsné blízkosti smartphonů, vidí experti bezpečnostní rizika především u odcizených telefonů. Ty však lze uzamknout pomocí iCloudu. Pokud by přesto došlo k neoprávněnému stržení peněz tímto způsobem, VISA by vzniklé ztráty převzala na sebe.
Bezpečnostní mezera v Apple Pay: jak se mohou chránit sami uživatelé
Přesto se lze zmíněnému riziku zcela vyhnout jednoduchou změnou v nastavení. Tom Chothia z Birminghamské univerzity uživatelům doporučuje deaktivovat kartu VISA pro platby ve veřejné dopravě. Expresní platby se ale týkají pouze několika měst, takže je to důležité pouze pro uživatele, kteří často cestují do zahraničí. Žádné z nich prozatím není v ČR. Detaily najdete také na webu support.apple.com v příspěvku "Kde můžete platit za dopravu pomocí Apple Pay" a "Používání expresního režimu pro karty, lístky a klíče v Apple Peněžence".