„Při bezhotovostním placení prostřednictvím iPhonu musí uživatel obvykle transakci ověřit pomocí Face ID, otiskem prstu nebo heslem. V květnu 2019 společnost Apple představila feature Express Transit/Travel, která umožňuje používat Apple Pay bez nutnosti ověření platby. Původním záměrem bylo ulehčit řidičům platbu na mýtných branách. Bohužel vynalézavost hackerů nezná mezí a díky této chybě mohou navíc obejít bezkontaktní limit na kartě a provádět neomezené transakce ze zamčených iPhonů,“ píše CyberBlog.cz.
Anketa
Je kancléř Mynář dobrý člověk?
41%
34%
hlasovalo: 25131 lidí
Útok spadá do skupiny technik „Man-in-the-Middle“, kdy na jedné straně figuruje iPhone s Visa kartou v režimu „Express Travel“ a na straně druhé útočník s EMV čtečkou. CyberBlog.cz je konkrétnější. „Útok začíná nahráním Magic Bytes (první set bytů sloužících k identifikaci souboru) do iPhonu, který je identifikuje jako bezkontaktní platbu skrze transportní EMV čtečku. V druhém kroku útočník upraví terminálové kvalifikační znaky transakce (TTQ) tak, aby platba proběhla v rámci offline ověření (Offline Data Authentication). Čtečka se tak domnívá, že byla platba ověřena uživatelem v zařízení a požadavek zpracuje. Výzkumníkům se takto podařilo provést transakci v hodnotě 1 000 GBP, tedy necelých 30 000 korun,“ píše.
Společnost Apple i Visa považují zmíněnou chybu za závažnou, ale momentálně nejsou schopny se dohodnout, kdo by ji měl opravit. Uživatelé karet Visa a Apple Pay by mezitím měli zakázat tranzitní mód pro placení.
Psali jsme:
Přidejte si PL do svých oblíbených zdrojů na Google Zprávy. Děkujeme.
autor: Barbora Richterová
FactChecking BETA
Faktická chyba ve zpravodajství? Pomozte nám ji opravit.
