Pozor na bezkontaktní platby iPhonem, hackeři mohou donutit i zamčený telefon k provedení platby

21.10.2021 9:52 | Zprávy

Na chybu v Apple Pay upozornil web zaměřený na problematiku kybernetické bezpečnosti CyberBlog.cz. Zmíněná chyba může útočníkům umožnit provádět libovolné bezkontaktní platby bez nutnosti ověření. Týká se to uživatelů iPhonů, kteří mají ve virtuální peněžence uloženou kartu Visa v tzv. tranzitním režimu.

Pozor na bezkontaktní platby iPhonem, hackeři mohou donutit i zamčený telefon k provedení platby
Foto: Apple
Popisek: Logo firmy Apple

„Při bezhotovostním placení prostřednictvím iPhonu musí uživatel obvykle transakci ověřit pomocí Face ID, otiskem prstu nebo heslem. V květnu 2019 společnost Apple představila feature Express Transit/Travel, která umožňuje používat Apple Pay bez nutnosti ověření platby. Původním záměrem bylo ulehčit řidičům platbu na mýtných branách. Bohužel vynalézavost hackerů nezná mezí a díky této chybě mohou navíc obejít bezkontaktní limit na kartě a provádět neomezené transakce ze zamčených iPhonů,“ píše CyberBlog.cz.
 
Podle webu na chybu nejdříve poukázal tým vědců z univerzit v Birminghamu a Surrey a začlenil ji do výzkumné práce s názvem „Practical EMV Relay Protection“. Výzkum mapuje, jak útočníci zneužili kombinaci chyb tranzitního režimu a virtuální peněženky, k jejichž objevení stačil ukradený iPhone. 
 
Útok spadá do skupiny technik „Man-in-the-Middle“, kdy na jedné straně figuruje iPhone s Visa kartou v režimu „Express Travel“ a na straně druhé útočník s EMV čtečkou. CyberBlog.cz je konkrétnější. „Útok začíná nahráním Magic Bytes (první set bytů sloužících k identifikaci souboru) do iPhonu, který je identifikuje jako bezkontaktní platbu skrze transportní EMV čtečku. V druhém kroku útočník upraví terminálové kvalifikační znaky transakce (TTQ) tak, aby platba proběhla v rámci offline ověření (Offline Data Authentication). Čtečka se tak domnívá, že byla platba ověřena uživatelem v zařízení a požadavek zpracuje. Výzkumníkům se takto podařilo provést transakci v hodnotě 1 000 GBP, tedy necelých 30 000 korun,“ píše. 
 
Společnost Apple i Visa považují zmíněnou chybu za závažnou, ale momentálně nejsou schopny se dohodnout, kdo by ji měl opravit. Uživatelé karet Visa a Apple Pay by mezitím měli zakázat tranzitní mód pro placení.
 
Tento článek je staršího data a je dostupný pouze pro předplatitele. Předplatné můžete vyzkoušet zdarma, nebo zakoupit, zde:

Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.

reklama

autor: Barbora Richterová

FactChecking BETA

Faktická chyba ve zpravodajství? Pomozte nám ji opravit.

Přezkoumat

ČT

Dobrý den, také nemám pro zvýšení poplatků ČT pochopení. Absurdní mi také přijde to rozšíření plátců. Má otázka ale zní, zda vůbec potřebujeme veřejnoprávní média? K čemu, když informovat pravdivě a objektivně musí přeci všechna média, a pokud tak nedělají, tak se jim dá dát třeba pokuta nebo tak ně...

Odpověď na tento dotaz zajímá celkem čtenářů:


Tato diskuse je již dostupná pouze pro předplatitele.

Další články z rubriky

„Takovou armádu už Ukrajina mít nebude.“ Analýza loňské ofenzivy. Velké chyby

15:00 „Takovou armádu už Ukrajina mít nebude.“ Analýza loňské ofenzivy. Velké chyby

Royal United Services Institute (RUSI) je nejstarší think-tank pro otázky obrany a bezpečnosti. Tent…