Исследователь безопасности: недостатки в Apple Pay, Samsung Pay и Google Pay упрощают мошенничество для воров
12 марта 2023 г.По словам эксперта по безопасности, баланс между платежами без помощи рук и стандартами безопасности, необходимыми для защиты этих транзакций, слишком далеко сместился в неправильном направлении.
На сессии Black Hat Europe 2021 на этой неделе Тимур Юнусов, старший эксперт по безопасности Positive Technologies, объяснил недостатки в приложениях для бесконтактных платежей, которые могут привести к мошенничеству с использованием утерянных или украденных мобильных телефонов. Юнусов специализируется на безопасности платежей и приложений.
По словам Юнусова, ключ к этому мошенничеству — удобство оплаты билетов в метро и автобусах без разблокировки телефона. Пользователи в США, Великобритании, Китае и Японии могут добавить платежную карту в смартфон и активировать ее как транспортную карту.
«Для проведения атаки смартфоны с Samsung Pay и Apple Pay должны быть зарегистрированы в этих странах, но карты могут быть выпущены в любом другом регионе», — сказал Юнусов. «Украденные телефоны также можно использовать где угодно, и то же самое возможно с Google Pay».
Юнусов и другие исследователи Positive Technologies протестировали серию платежей, чтобы узнать, сколько денег можно потратить на одну транзакцию с помощью этого метода. Они остановились на 101 фунте. По словам исследователей, «даже самые последние модели iPhone позволяли нам совершать платежи на любом PoS-терминале, даже если батарея телефона была разряжена», при условии, что в телефоне использовалась карта Visa для оплаты и был включен режим Express Transit.
SEE: Цифровые водительские права: достаточно ли они безопасны, чтобы нам доверять?
Positive Technologies придерживается принципов ответственного раскрытия информации, что означает, что производители программного обеспечения связываются с информацией о риске безопасности до того, как уязвимость станет достоянием общественности. Если производитель не ответит в письменном виде в течение 90 дней, исследователи безопасности оставляют за собой право опубликовать результаты без упоминания информации, которая позволила бы злоумышленникам использовать обнаруженную уязвимость.
В Positive Technologies заявили, что Apple, Google и Samsung были уведомлены об обнаруженных уязвимостях в марте, январе и апреле 2021 года соответственно. По данным Positive Technologies, компании заявили, что не планируют вносить какие-либо изменения в свои системы, но попросили разрешения поделиться выводами и отчетами с платежными системами. Охранная компания также сообщила, что ее исследователи связались с техническими специалистами Visa и Mastercard, но не получили ответа.
Карты Visa могут быть самыми уязвимыми
Юнусов сказал, что отсутствие автономной аутентификации данных позволяет использовать этот эксплойт, хотя существуют спецификации EMVCo, охватывающие эти транзакции.
«Единственная проблема заключается в том, что теперь крупным компаниям, таким как MasterCard, Visa и AMEX, не нужно следовать этим стандартам, когда мы говорим о платежах NFC — эти компании разошлись в начале 2010-х годов, и теперь каждый делает здесь то, что хочет», — сказал он. сказал.
Приложения Apple Pay, Google Pay и Samsung Pay уязвимы для этой угрозы. По словам Юнусова, похоже, есть разница, если человек использует для оплаты карту Visa вместо Mastercard или American Express.
«MasterCard решила, что ODA является важной частью их механизмов безопасности, и будет придерживаться этого», — сказал он. «Поэтому все терминалы по всему миру, которые принимают карты MC, должны выполнять ODA, и в случае сбоя транзакция NFC должна быть отклонена».
По словам Юнусова, Visa не использует эту проверку ODA во всех торговых точках, что создает уязвимость. Исследователи из Бирмингемского университета также описали этот недостаток в статье «Практическая релейная защита от электромагнитных помех».
Представитель Visa заявил в ответ на исследование, что карты Visa, подключенные к мобильным кошелькам с функциями транзита, безопасны и что большинство схем бесконтактного мошенничества изучались в лабораторных условиях более десяти лет и оказались непрактичными для масштабного применения в масштабах страны. реальный мир.
«Для защиты платежей используются несколько уровней безопасности, и потребители получают выгоду от гарантии нулевой ответственности Visa», — сказал представитель. «Visa серьезно относится ко всем угрозам безопасности и постоянно совершенствует свои возможности обеспечения безопасности платежей, чтобы защитить держателей карт от новейших реальных угроз».
Исправление ошибки в мобильных платежных приложениях
Юнусов сказал, что производители телефонов и платежные компании должны работать вместе, чтобы устранить эту уязвимость. На самом деле Apple и Samsung переложили ответственность на Visa и MasterCard, сказал он, хотя проблема не в продуктах платежных компаний.
«Мобильные кошельки находятся в выигрышном положении — с одной стороны, они (платежные компании) зарабатывают деньги на транзакциях и популяризируют свои продукты», — сказал Юнусов. «С другой стороны, они говорят клиентам, если есть какое-либо мошенничество, связаться с банком-эмитентом, чтобы спросить, почему они разрешили платеж».
Юнусов сказал, что решение проблемы заключается в том, чтобы учитывать цену, код продавца и статус телефона для каждой транзакции. Он описал этот процесс так:
«Если оплата на $0,00, телефон заблокирован, а МСС-код транспортный, это легитимная транзакция, когда кто-то платит в метро. Но если платеж составляет 100 долларов США, телефон был разблокирован (вы можете получить эту информацию в данных транзакции), а MCC — это «супермаркеты», что подозрительно, поскольку покупатели не должны иметь возможности платить в супермаркетах, не разблокировав телефон. телефон."
Он рекомендовал разработчикам решить эти проблемы, чтобы повысить безопасность мобильных платежных приложений:
- Проблемы с аутентификацией Apple Pay и проверкой полей
Путаница в криптограммах AAC/ARQC
Отсутствие проверки поля суммы для схем общественного транспорта
Отсутствие проверки целостности полей MCC
Платежи Google Pay выше Нет ограничений CVM
** Статья обновлена 15 ноября 2021 г. с комментарием Visa.
Оригинал