Daca folosesti Apple Pay cu un card Visa si mergi cu metroul, stai la coada la supermarket sau esti pur si simplu intr-un loc aglomerat, exista o vulnerabilitate care ar putea sa iti afecteze contul bancar fara sa iti dai seama de nimic. Cercetatorii Ioana Boureanu de la Universitatea Surrey si Tom Chothia de la Universitatea Birmingham, prezentati public si prin canalul Veritasium, au aratat cum functioneaza un exploit in sistemul tap-to-pay al iPhone-ului care permite unui atacator sa initieze tranzactii chiar si pe un telefon blocat.

Mecanismul e mai complex decat ti-ai imagina. Atacul exploateaza o functie specifica numita Express Transit Mode, care permite telefonului sa proceseze automat plati pentru transport public fara autentificare, chiar si cu ecranul stins. Pentru a executa atacul, agresorul are nevoie de un dispozitiv Proxmark, un laptop cu scripturi Python si un telefon secundar care actioneaza ca intermediar - un atac clasic man-in-the-middle prin NFC. Combinatia dintre aceste componente permite simularea unui terminal de transport si initierea unei tranzactii neautorizate in timp ce telefonul tau se afla in buzunar.

Ceea ce face exploitul si mai ingrijorator e ca nu e o vulnerabilitate nou descoperita. E o problema cunoscuta de ani de zile, iar important de retinut e ca afecteaza exclusiv combinatia Apple Pay cu carduri Visa. Cardurile Mastercard si American Express nu sunt vulnerabile, iar sisteme precum Samsung Pay nu sunt afectate.

Apple a recunoscut problema, insa a declarat ca responsabilitatea apartine Visa. Visa, la randul sau, invoca politica zero-liability, care teoretic acopera tranzactiile frauduloase - desi obtinerea rambursarii nu e intotdeauna simpla in practica. Niciuna dintre companii nu a emis un patch care sa rezolve complet problema.

Apple Pay are anumite protectii incorporate. De exemplu, pentru tranzactii mai mari e necesara autentificarea prin Face ID sau Touch ID. Dar Express Transit Mode, prin design, ocoleste tocmai aceste protectii pentru a face platile de transport mai rapide.

Ce poti face concret? Cel mai eficient sfat e sa dezactivezi Express Transit Mode daca nu ai nevoie de el, sau sa nu asociezi un card Visa pentru plati de tip transit. In al doilea rand, verifica regulat extrasele de cont si activeaza notificarile pentru fiecare tranzactie. Dezactivarea completa a NFC-ului nu e o solutie practica si nici nu e necesara daca iei masurile corecte.

Tranzactiile contactless sunt extrem de comode, iar asta nu se va schimba. Dar a sti exact ce anume esti vulnerabil si de ce e primul pas pentru a te proteja.

Sursa: Unilad