Баги Apple Pay, Samsung Pay и Google Pay позволяют тратить деньги жертв

Екатерина Быстрова 11 Ноября 2021 - 10:45

Домашние пользователи

Корпорации

Android

iOS

Positive Technologies

Уязвимости программ

...

Баги Apple Pay, Samsung Pay и Google Pay позволяют тратить деньги жертв

На знаменитой конференции Black Hat Europe специалисты компании Positive Technologies рассказали о выявленных уязвимостях в системах мобильных платежей Apple Pay, Samsung Pay и Google Pay. По словам Тимура Юнусова, бреши позволяют тратить неограниченное количество средств с помощью украденных смартфонов.

Есть одно условие, на которое обращают внимание эксперты, — на устройствах должны быть активированы режимы оплаты общественного транспорта, при использовании которых не требуется разблокировка девайсов.

Речь идёт о функции public transport schemes или «режим транспортной экспресс-карты». До введения этого режима в эксплуатацию Apple Pay и Samsung Pay не позволяли оплачивать услуги без разблокировки смартфона.

Как отметил Тимур Юнусов из Positive Technologies, активация транспортной карты подразумевает использование смартфона для оплаты без аутентификации и, что ещё важнее, в любом регионе. Другими словами, украденный девайс не будет привязан к конкретной местности и не потребует для оплаты разблокировки.

Исследователи провели тесты, в ходе которых последовательно увеличивалась сумма единоразового списания. Зафиксированный потолок — 101 фунт стерлинга. Тем не менее банки, как правило, не накладывают ограничений на списания с помощью Apple Pay и Samsung Pay, поэтому суммы могут быть существенно больше.

В Positive Technologies отметили одну особенность смартфонов iPhone: эти устройства позволяют оплачивать услуги даже разряженными. Эксперты порекомендовали разработчикам уделить больше внимания проблемам аутентификации и проверке правильности полей.

Основными недостатками Тимур Юнусов назвал путаницу в криптограммах AAC/ARQC, отсутствие проверки поля суммы для схем общественного транспорта, а также отсутствие проверок целостности поля MCC.

Напомним, что в конце сентября специалисты университетов Бирмингема и Суррея выяснили, что злоумышленник может осуществлять несанкционированные платежи с помощью Apple Pay, если пользователь привязал карту Visa.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 30 Апреля 2025 - 14:19

Атаки на сайты DDoS-атаки Домашние пользователи Корпорации

Крупный интернет-провайдер Сибсети подвергся мощной DDoS-атаке

Утром 30 апреля интернет-провайдер «Сибсети» подвергся DDoS-атаке. Под удар попали филиалы компании в Новосибирске, Новокузнецке, Кемерове и Красноярске.

Как сообщили в «Сибсетях» одному из местных СМИ, атака началась около 10:00 по местному времени. При этом сервис Downdetector зарегистрировал первые жалобы ещё в 6:00. Наибольшее количество обращений пришлось как раз на 10:00.

«В данный момент новосибирский филиал подвергается активной DDoS-атаке, направленной на нашу инфраструктуру. Злоумышленники активизировались перед майскими праздниками, перегружая наши серверы множеством запросов. Это может вызывать временные сбои в работе личного кабинета и мобильного приложения "Мои Сибсети"», — заявили в отделе маркетинга компании на официальной странице во «ВКонтакте».

Как уточняет ТАСС, спустя час атака начала распространяться на другие регионы. Сначала — на Новокузнецк и Кемерово, затем на Красноярск.

Согласно данным Downdetector, основная масса жалоб поступает из Новосибирской области и Красноярского края. Более 80% пользователей сообщают о полном отсутствии домашнего интернета.

Напомним, что в ноябре 2024 года новосибирский филиал «Сибсети» уже подвергался масштабной DDoS-атаке, последствия которой устранялись в течение нескольких дней.

Баги Apple Pay, Samsung Pay и Google Pay позволяют тратить деньги жертв

Читайте также