iPhone’y jednak nie takie idealne? Znaleziono poważną lukę bezpieczeństwa w Apple Pay
Użytkownicy iPhone’ów są przekonani o wysokim stopniu zabezpieczeń dostarczanych przez Apple. Jak się jednak okazuje, nawet gigant z Cupertino zalicza wpadki - tym razem poważną, bo dotyczącą płatności przez Apple Pay.
Płatność przez Apple Pay bez autoryzacji jest możliwa
Jak wynika z ostatnich badań wykonywanych przez grupę badaczy z Birmingham - istnieje sposób na dokonanie płatności za pośrednictwem płatności zbliżeniowych Apple Pay bez autoryzacji ze strony użytkownika. Co więcej - jest to możliwe nawet, kiedy iPhone znajduje się w kieszeni lub torebce, ponieważ ekran urządzenia może być zablokowany.
Apple Pay jednak nie jest bezpieczne? Badacze odkryli sposób na dokonanie płatności bez autoryzacji użytkownika, nawet na zablokowanym ekranie.
Problem na szczęście nie dotyczy wszystkich użytkowników. Podatni na kradzież pieniędzy przez Apple Pay są wyłącznie posiadacze kart Visa z uruchomionych trybem Express Transit (system umożliwiający płatności za transport publiczny w niektórych miastach, niewykorzystywany w Polsce).
Korzystanie z tego systemu pozwala opłacić przejazd np. metrem w błyskawiczny sposób - wyłącznie przykładając smartfon do terminala. To oczywiście oszczędność czasu dla użytkowników, ale również ryzyko, gdyż stosując fałszywy terminal, atakujący mogą pobrać nawet tysiąc funtów z konta bez autoryzowania płatności i z pominięciem dziennych limitów płatności.
Wykorzystanie luki bezpieczeństwa w Apple Pay można obejrzeć na poniższym materiale udostępnionym przez The Telegraph.
Luka bezpieczeństwa jest znana od roku, ale żadna z firm nie wie, kto powinien wprowadzić aktualizację
Oczywiście - badania systemów płatniczych (i nie tylko) pod kątem obecności nieznanych luk wpływających na bezpieczeństwo użytkowników są w pełni zasadne i bardzo dobrze, że producenci oprogramowań otrzymują odpowiedź od testerów “żywego organizmu”.
Problem zaczyna się jednak, kiedy zgłaszany błąd dotyczy więcej niż jednego dostawcy, jak w przypadku Apple i Visa. Badacze twierdzą, że luka została zgłoszona Apple już rok temu, w październiku 2020 r. Visa natomiast zna problem od maja tego roku.
Upłynęło zatem mnóstwo czasu, a firmy nadal nie mogą ustalić, kto jest odpowiedzialny za wdrożenie poprawek. Visa twierdzi, że wina leży po stronie Apple Pay i to w tym systemie należy wprowadzić udoskonalenia, natomiast Apple wymienia dodatkowe zabezpieczenia, którym powinni przyjrzeć się programiści Visa.
Jak myślicie? Kto pierwszy się ”ugnie” i zdecyduje się naprawić problem?
Źródło: macrumors.com
Komentarze
5Lecz użytkownik zawsze zrobi swoje.