Hackeři mohou donutit zamčený iPhone k provedení bezkontaktní platby

by | Zář 29, 2021 | Mobilní zařízení a sociální sítě, Nejnovější | 0 comments

Chyba v Apple Pay může útočníkům umožnit provádět libovolné bezkontaktní platby bez nutnosti ověření. Týká se to uživatelů iPhonů, kteří mají ve virtuální peněžence uloženou kartu Visa v tzv. tranzitním režimu.

Při bezhotovostním placení prostřednictvím iPhonu musí uživatel obvykle transakci ověřit pomocí Face ID, otiskem prstu nebo heslem. V květnu 2019 společnost Apple představila feature Express Transit/Travel, která umožňuje používat Apple Pay bez nutnosti ověření platby. Původním záměrem bylo ulehčit řidičům platbu na mýtných branách. Bohužel vynalézavost hackerů nezná mezí a díky této chybě mohou navíc obejít bezkontaktní limit na kartě a provádět neomezené transakce ze zamčených iPhonů.

Na chybu poukázal tým vědců z univerzit v Birminghamu a Surrey a začlenil ji do výzkumné práce s názvem “Practical EMV Relay Protection”. Výzkum mapuje jak útočníci zneužili kombinaci chyb tranzitního režimu a virtuální peněženky, k jejichž objevení stačil ukradený iPhone. Tuto chybu lze navíc zneužít pomocí jakékoli EMV čtečce s libovolnou částkou. EMV je mezinárodní standard pro vzájemné operace mezi čipovými kartami a čtečkou.

Útok spadá do skupiny technik “Man-in-the-Middle”, kdy na jedné straně figuruje iPhone s Visa kartou v režimu “Express Travel” a na straně druhé útočník s EMV čtečkou. Útok začíná nahráním Magic Bytes (první set bytů sloužících k identifikaci souboru) do iPhonu, který je identifikuje jako bezkontaktní platbu skrze transportní EMV čtečku. V druhém kroku útočník upraví terminálové kvalifikační znaky transakce (TTQ) tak, aby platba proběhla v rámci offline ověření (Offline Data Authentication). Čtečka se tak domnívá, že byla platba ověřena uživatelem v zařízení a požadavek zpracuje. Výzkumníkům se takto podařilo provést transakci v hodnotě 1 000 GBP, tedy necelých 30 000 Kč.

Společnost Apple i Visa považují chybu za závažnou, ale momentálně nejsou schopny se dohodnout kdo by ji měl opravit. Uživatelům karet Visa a Apple Pay mezitím doporučujeme zakázat tranzitní mód pro placení.

Kompletní studii Practical EMV Relay Protection naleznete zde.

Autor: Ondřej Vanáč, spoluzakladatel CyberBlog.cz

Zdroj: WeLiveSecurity

Foto: Pexels

0 Comments
Submit a Comment
Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

Jaký je rozdíl mezi zabezpečení aplikace a zabezpečením API?

S nástupem digitální transformace a rostoucí závislostí podniků na digitálních službách je zabezpečení aplikací a rozhraní API (Application Programming Interfaces) důležitější než kdy dříve. S ohledem na to jsou zabezpečení aplikací a API dvě zásadní součásti komplexní bezpečnostní strategie. Využitím těchto postupů se organizace mohou chránit před škodlivými útoky a bezpečnostními hrozbami a především zajistit, aby jejich data zůstala v bezpečí.

„AI přítelkyně” jsou noční můrou pro soukromí

„AI přítelkyně” jsou noční můrou pro soukromí

Romantičtí chatboti shromažďují obrovské množství dat, poskytují nejasné informace o tom, jak je používají, používají slabou ochranu heslem a nejsou transparentní, tvrdí nový výzkum společnosti Mozilla.

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

4 způsoby, jak hackeři pomocí sociálního inženýrství obcházejí MFA

Pokud jde o zabezpečení přístupu, jedno doporučení vyniká nad ostatními: vícefaktorové ověřování (MFA). Vzhledem k tomu, že samotná hesla jsou pro hackery jednoduchou prací, poskytuje MFA zásadní vrstvu ochrany proti narušení. Je však důležité si uvědomit, že MFA není bezchybné. Lze ho obejít, a často se tak i děje.

Jak být anonymnější online

Jak být anonymnější online

Na internetu jste neustále monitorováni. Hlavním viníkem je často reklamní průmysl a technologické společnosti, které jsou na reklamě silně závislé, aby vydělaly peníze ( např. Google a Meta). Na webu vás mohou sledovat neviditelné trackery a cookies vložené do webových stránek a aplikací. Přečtěte si návod, jak se stát více anonymním na internetu.

Nejhorší hacky roku 2023

Nejhorší hacky roku 2023

Minulý rok byl plný ničivých kybernetických útoků po celém světě, od ransomwarových útoků na kasina až po státem sponzorované narušení kritické infrastruktury.