Баги Apple Pay, Samsung Pay и Google Pay позволяют тратить деньги жертв

Баги Apple Pay, Samsung Pay и Google Pay позволяют тратить деньги жертв

Баги Apple Pay, Samsung Pay и Google Pay позволяют тратить деньги жертв

На знаменитой конференции Black Hat Europe специалисты компании Positive Technologies рассказали о выявленных уязвимостях в системах мобильных платежей Apple Pay, Samsung Pay и Google Pay. По словам Тимура Юнусова, бреши позволяют тратить неограниченное количество средств с помощью украденных смартфонов.

Есть одно условие, на которое обращают внимание эксперты, — на устройствах должны быть активированы режимы оплаты общественного транспорта, при использовании которых не требуется разблокировка девайсов.

Речь идёт о функции public transport schemes или «режим транспортной экспресс-карты». До введения этого режима в эксплуатацию Apple Pay и Samsung Pay не позволяли оплачивать услуги без разблокировки смартфона.

Как отметил Тимур Юнусов из Positive Technologies, активация транспортной карты подразумевает использование смартфона для оплаты без аутентификации и, что ещё важнее, в любом регионе. Другими словами, украденный девайс не будет привязан к конкретной местности и не потребует для оплаты разблокировки.

Исследователи провели тесты, в ходе которых последовательно увеличивалась сумма единоразового списания. Зафиксированный потолок — 101 фунт стерлинга. Тем не менее банки, как правило, не накладывают ограничений на списания с помощью Apple Pay и Samsung Pay, поэтому суммы могут быть существенно больше.

В Positive Technologies отметили одну особенность смартфонов iPhone: эти устройства позволяют оплачивать услуги даже разряженными. Эксперты порекомендовали разработчикам уделить больше внимания проблемам аутентификации и проверке правильности полей.

Основными недостатками Тимур Юнусов назвал путаницу в криптограммах AAC/ARQC, отсутствие проверки поля суммы для схем общественного транспорта, а также отсутствие проверок целостности поля MCC.

Напомним, что в конце сентября специалисты университетов Бирмингема и Суррея выяснили, что злоумышленник может осуществлять несанкционированные платежи с помощью Apple Pay, если пользователь привязал карту Visa.

Hide My Email от Apple раскрывает настоящие адреса электронной почты

Функция Apple Hide My Email должна делать ровно то, что написано на упаковке: скрывать настоящий адрес электронной пользователя за одноразовым имейлом. Но, похоже, с конфиденциальностью снова вышла неприятная история.

Как пишет 404 Media, исследователь Тайлер Мёрфи обнаружил уязвимость, которая позволяет раскрывать реальные имейл-адреса пользователей, скрытые за Hide My Email. Издание утверждает, что проверило проблему и подтвердило ее существование.

По словам Мёрфи, он сообщил Apple о баге больше года назад, но компания до сих пор его не исправила. Исследователь также заявил, что в ограниченных тестах с добровольцами атака сработала во всех случаях: 100% проверенных адресов Hide My Email оказались уязвимы.

Подробности самой уязвимости пока не раскрываются, чтобы не дать злоумышленникам готовую инструкцию. Но потенциальный риск понятен: если реальный имейл можно связать с одноразовым адресом, пользователь теряет один из ключевых уровней анонимности.

Мёрфи предупреждает, что публичные сайты поиска людей позволяют быстро привязать адрес электронной почты к другим персональным данным. Поэтому для тех, кто использует Hide My Email ради безопасности, а не просто ради борьбы со спамом, проблема может быть особенно неприятной.

Apple пока публично не объяснила, почему баг остаётся неисправленным. При этом компания годами строит имидж вокруг защиты приватности.

RSS: Новости на портале Anti-Malware.ru