Zaloguj się

Zarejestruj się

DAJ CYNK
Zaloguj się Zarejestruj się
DAJ CYNK

Kradziony iPhone nie jest bezużyteczny. Można płacić Apple Pay

Anna Rymsza (Xyrcon)

Bezpieczeństwo

Apple Pay i Visa jako Express Transit to niebezpieczne połączenie

iPhone po kradzieży ma być bezużyteczny. Użytkownicy mają ufać swoim telefonom, a złodzieje mają czuć się zniechęceni do takich kradzieży. Jest jednak sposób, by wyczyścić komuś konto kradzionym iPhone'em.

Analitycy znaleźli furtkę, która pozwala płacić kradzionym telefonem Apple bez autoryzacji, jeśli do usługi Apple Pay została dodana karta płatnicza Visa. W ten sposób można wydać nawet tysiące złotych, płacąc bezkontaktowo. Co więcej, można w ten sposób kraść pieniądze z telefonów w torebkach i kieszeniach innych osób, korzystając ze zbliżeniowego terminala płatniczego.

Kto nawalił? Trudno powiedzieć. Ten sposób płacenia jest możliwy dzięki niezałatanym podatnościom w systemach Visa i Apple Pay. By płatność była możliwa, karta musi działać w trybie Express Transit. To sposób płacenia przygotowany dla podróżujących transportem publicznym w niektórych miastach, w tym w metrze w Londynie i Mińsku. Małe kwoty są pobierane przy bramkach bez odblokowania telefonu, wystarczy zbliżyć go do czytnika przy bramkach.

Zobacz: Apple Pay to nowa metoda płatności w Cinkciarz Pay
Zobacz: Xiaomi NFC Pay Strap to pasek do płatności zbliżeniowych

Problem w tym, że ten sposób działa nie tylko przy wejściu do metra i można pobrać kwoty znacznie większe, niż za bilet na przejazd. Analitycy pokazali, jak można pobrać tysiąc funtów standardowym terminalem zbliżeniowym Europay. Konieczne jest ustawienie terminala w taki sposób, by udawał ten używany na bramce metra, a to żadne wyzwanie. Następnie obsługa płatności została przekierowana, by aplikacja na telefonie z Androidem mogła wychwycić sygnały autoryzujące płatność.

Co ciekawe, analitykom udało się nawet wykonywać płatności na kwoty przekraczające limit dla płatności bezkontaktowych, ustawiony w banku.

To nie pieniądze są problemem, a oszustwa

Ken Munro z Pen Test Partners skomentował to odkrycie. Jego zdaniem problemem nie są pieniądze. Możliwość kradzieży telefonu i płacenia tym sposobem otwiera drogę do oszustw, a może nawet do prania pieniędzy. Wcześniej PIN zabezpieczający byłby gwarancją bezpieczeństwa, ale nagle kradzież iPhone'a z włączonym Express Transit stała się atrakcyjna.

Szczęśliwie opisany przykład to ćwiczenie czysto akademickie. Visa twierdzi, że Apple Pay jest bezpieczny „w praktyce” i nie było żadnego nadużycia, które wykorzystywałoby opisany mechanizm. Oby tak pozostało. Podatność została zgłoszona Apple'owi w październiku 2020 roku, Visa zaś dostała informację o niej w maju 2021. Nadal nie dogadali się, kto powinien implementować poprawkę.

Za odkrycie luki w zabezpieczeniach odpowiadają analitycy z uniwersytetów w Birmingham i Surrey, wspierani przez brytyjskie National Cyber Security Centre (NCSC). Najlepiej więc nie korzystać z tego sposobu płacenia, a w razie kradzieży usunąć dane z urządzenia. Szczęśliwie jedyne polskie metro nie obsługuje tego sposobu płacenia.

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło zdjęć: Nathan Dumlao (Unsplash)

Źródło tekstu: threatpost

Tagi: apple iphone apple pay płatności bezgotówkowe visa płatności zbliżeniowe telefonem skradziony iphone express transit
Wyświetl komentarze
Przewiń w dół do następnego wpisu

Kredyty gotówkowe

Porównaj wszystkie kredyty w jednym miejscu

Alior Bank
Kredyt konsolidacyjny
RRSO: 10,36%Kwota do zapłaty: 5 799,65 zł

Rata: 161,10 zł

Darmowa porada
Alior Bank
Pożyczka Internetowa
RRSO: 10,36%Kwota do zapłaty: 5 799,65 zł

Rata: 161,10 zł

Darmowa porada
Kasa Stefczyka
Pożyczka konsolidacyjna FIT
RRSO: 11,46%Kwota do zapłaty: 5 884,45 zł

Rata: 163,46 zł

Darmowa porada

Kredyty dla firm

Porównaj wszystkie kredyty dla firm w jednym miejscu

Nest Bank
BIZnest Kredyt w Ratach - Przedsiębiorca
Prowizja: 1 995 złWaluta: PLNOkres: 6 miesięcy - 8 lat

Marża: od 0,2%

Darmowa porada
Alior Bank
Kredyt Inwestycyjny
Prowizja: 150 złWaluta: PLN, EUR, USD, CHF, GBPOkres: maks. 20 lat

Marża: od 0,5%

Nest Bank
BIZnest Kredyt w Ratach - Profesjonalista
Prowizja: 1 995 złWaluta: PLNOkres: 6 miesięcy - 8 lat

Marża: od 0,5%

Darmowa porada

Konta osobiste

Porównaj wszystkie konta osobiste w jednym miejscu

Toyota Bank
Konto młodzieżowe Click
Konto: 0 złKarta: 0 zł Bankomaty: 0 zł

Koszt miesięczny: 0 zł

Darmowa porada
Crédit Agricole
Konto dla Ciebie GO!
Konto: 0 złKarta: 0 zł Bankomaty: 0-3 zł

Koszt miesięczny: 0 zł

Darmowa porada
Nest Bank
Nest Konto
Konto: 0 złKarta: 0 zł Bankomaty: 0-6 zł

Koszt miesięczny: 0 zł

Konta dla firm

Porównaj wszystkie konta dla firm w jednym miejscu

Santander Bank Polska
Konto Firmowe Godne Polecenia w "Promocji godnej polecenia"
Konto: 0 złKarta: 0 zł Bankomaty: 0 zł
Do 31 lipca 2023 r.: "Promocja godna polecenia" polega na zwolnieniu klienta z opłat za prowadzenie więcej» rachunku bieżącego, przelewy internetowe w PLN, 10 przelewów natychmiastowych bluecash w miesiącu, wydanie i użytkowanie karty do rachunku oraz dodatkowo możliwości uzyskania do 1500 zł premii:
- do 900 zł zwrotu od transakcji (3% od łącznej wartości transakcji bezgotówkowych kartą, maks. 150 zł miesięcznie przez 6 miesięcy) oraz
- 300 zł za podpisanie umowy kredytu z bankiem do 6 miesięcy od przystąpienia do promocji
- 300 zł za zawarcie umowy leasingu bądź pożyczki leasingowej z Santander Leasing do 6 miesięcy od przystąpienia do promocji
Warunkami uzyskania premii jest wykonanie comiesięcznych przelewów do ZUS-u na min. 200 zł oraz wyrażenie zgód na marketingowych.

Koszt miesięczny: 0 zł

Bank Millennium
Konto Mój Biznes w promocji
Konto: 0 złKarta: 0 zł Bankomaty: 0/1 zł
Nawet 2000 zł w promocji:
a)do 500 zł – 5% zwrotu za płatności za ZUS przez 5 miesięcy (m więcej» ax. 100 zł miesięcznie),
b)do 500 zł - 5% zwrotu za płatności kartą debetową za paliwo na stacjach przez 5 miesięcy (max. 100 zł miesięcznie),
c)500 zł – za podpisanie umowy o Terminal płatniczy lub POS i zaksięgowanie min 1000 zł płatności,
d)500 zł – za podpisanie umowy o leasing z Millennium Leasing na kwotę min. 30 000 zł.
Promocja aktywna do do 31 grudnia lub do wyczerpania puli 4500 promocyjnych kont

Koszt miesięczny: 0 zł

mBank
mBiznes Standard (w promocji)
Konto: 0 złKarta: 0 zł Bankomaty: 0/5 zł
Promocją: konto firmowe z gwarancją braku opłat przez 2 lata
Nnawet 1 700 zł oszczędności na pr więcej» owadzeniu i najważniejszych usługach w koncie firmowym - przez 2 lata od skorzystania z oferty nie zapłacisz nic za:
- otwarcie i prowadzenie konta
- internetowe przelewy krajowe w PLN
- wpłaty we wpłatomatach mBanku, Planet Cash, Cashline, Euronetu
- wypłatę gotówki z bankomatów mBanku, Planet Cash, Euronetu, Santander Bank Polska S.A.
- internetowe przelewy w EUR do krajów Unii Europejskiej oraz Islandii, Norwegii, Liechtensteinu i Szwajcarii
- pierwszą kartę płatniczą (dotyczy Mastercard Debit Business, Visa Business Debit, Mastercard Business WOŚP i Mastercard Business WOŚP Mobilna)
Dodatkowo możesz otworzyć do 5 rachunków pomocniczych mBiznes Konto Pomocnicze za 0 zł przez 2 lata oraz do nich:
- pakiet 10 internetowych przelewów krajowych w PLN
- dobrać jedną kartę debetową do wyboru Mastercard Debit Business, Visa Business Debit, Mastercard Business WOŚP lub Mastercard Business WOŚP Mobilna za 0 zł na 2 lata do każdego rachunku pomocniczego otworzonego w promocji
- możesz otworzyć rachunki walutowe mBiznes konto walutowe dla firm w walucie EUR i/lub USD (po jednym w każdej walucie) za 0 zł przez 2 lata oraz dobrać jedną kartę walutową w zależności od waluty rachunku Visa Business USD lub Visa Business EUR za 0 zł na okres ważności karty
Promocja dostępna do 31.01.2023 r.

Koszt miesięczny: 0 zł

Karty kredytowe

Porównaj wszystkie karty kredytowe w jednym miejscu

BOŚ
Karta kredytowa MasterCard Standard
Oprocentowanie: 10.99Okres bezodsetkowy: 56 dni
Jest wygodnym i bezpiecznym narzędziem płatniczym (chargeback i przejęcie przez bank odpowiedzialnoś więcej» i za niautoryzowane transakcje). Gwarantuje większą swobodę, mogąc stanowić źródło dodatkowego finansowania. Przy tym, cechuje ją niska opłata za korzystanie i korzystne warunki zwolnienia. Wyposażona jest dodatowko w:
- program lojalnościowy Pricless Specials z usługą Twoje podróże, dzięki której zgromadzone punkty można wymienić na na bilety lotnicze, noclegi w hotelach, czy wynajem samochodów
- bezpłatne powiadomienia SMS m.in. o wystawieniu wyciągu oraz zbliżającym się terminie i kwocie do spłaty

Maks. limit: 25 000 zł

Darmowa porada
Bank Pocztowy
Karta Kredytowa
Oprocentowanie: 15.25Okres bezodsetkowy: 55 dni

Maks. limit: 20 000 zł

Darmowa porada
ING Bank Śląski
Karta kredytowa MasterCard
Oprocentowanie: 16.50Okres bezodsetkowy: 52 dni
- możliwość automatycznej spłaty zadłużenia z konta osobistego;
- możliwość dokonywania przelew więcej» w z karty kredytowej na dowolny rachunek bankowy w Polsce (poza rachunkami ZUS i US) - możliwość uniknięcia opłaty rocznej;
- brak konieczności posiadania konta osobistego w banku;
- możliwość bezpiecznego płacenia kartą w internecie (zabezpieczenie 3D Secure);
- odzyskanie pieniędzy za niezrealizowane zakupy (chargeback);
- czasowa blokada karty;
- możliwość samodzielnego ustawiania limitów transakcyjnych;
- możliwość dokonywania płatności za pomocą Google Pay, Apple Pay i Garmin Pay;
- usługa "Rozłóż na raty"

Maks. limit: 20 000 zł

Darmowa porada