Баги в Apple Pay, Samsung Pay и Google Pay позволяют совершать несанкционированные покупки

Эксперт компании Positive Technologies Тимур Юнусов выступил на конференции Black Hat Europe, где представил подробности исследования уязвимостей систем мобильных платежей Apple Pay, Samsung Pay и Google Pay.

Обнаруженные уязвимости позволяют использовать для неограниченных покупок украденные смартфоны, на которых были активированы режимы оплаты общественного транспорта, для которых не требуется разблокировка устройств. До июня 2021 года покупки могли осуществляться на любых торговых POS-терминалах, а не только в общественном транспорте. На iPhone была доступна даже оплата с помощью разряженного устройства.

До 2019 года Apple Pay и Samsung Pay не разрешали платежи, если телефон не был разблокирован с помощью отпечатка пальца, идентификатора лица или PIN-кода. Сейчас такая возможность есть, и она называется public transport schemes («режимы платежей в общественном транспорте» или режим транспортной экспресс-карты у Apple).

«Одним из преимуществ транспортных режимов в смартфонах является удобство использования, — объясняет Тимур Юнусов. —  После того, как вы привязали банковскую карту (Visa, MasterCard или например American Express) к смартфону и активировали ее как транспортную карту, вы можете оплачивать поездки в метро или в автобусе без разблокировки устройства. Такая функция доступна, например, в США, Великобритании, Китае, Японии. Для осуществления атаки смартфоны Samsung Pay и Apple Pay должны быть зарегистрированы в этих странах, однако карты могут быть из любого другого региона. Украденные телефоны также можно использовать в любом регионе. Аналогичные действия можно совершить с помощью Google Pay».

В ходе экспериментов исследователи последовательно увеличивали сумму единоразовового списания, остановившись на 101 фунте стерлингов. Однако банки чаще всего не накладывают дополнительных ограничений и проверок при совершении платежей с  использованием Apple Pay и Samsung Pay, считая эти системы мобильных платежей достаточно защищенными, поэтому суммы списаний могут быть значительно больше.

Как отмечает Юнусов, даже последние модели Apple iPhone, в том числе разряженные, позволяли совершать платежи на любых POS-терминалах. Для этого нужна была подключенная к смартфону карта Visa (с активированым режимом транспортной экспресс-карты) и положительный баланс на счету. В связи с отсутствием на тот момент исследования обязательной оффлайн-аутентификации (ODA Offline Data Authentication), украденным телефоном с подключенной картой Visa и активированным транспортным режимом можно было пользоваться буквально в любой точке планеты, на различных POS-терминалах, как на Apple Pay, так и на Google Pay, без ограничений по сумме.

Что касается карт MasterCard, специалисты Positive Technologies смогли воспроизвести аналогичную атаку, воспользовавшись недостатком, обнаруженным ранее экспертами из Швейцарской высшей технической школы Цюриха. Позднее этот недостаток был устранен, и на данный момент для совершения платежей по украденным телефонам с привязанными картами MasterCard и American Express злоумышленникам потребуется доступ к специально модифицированным POS-терминалам.

В ходе доклада  Юнусов дал рекомендации разработчикам платежных систем и мобильных кошельков, которые помогут им лучше бороться с подобным мошенничеством. Среди выявленных проблем — проблемы с аутентификацией Apple Pay и проверкой правильности полей, путаница в криптограммах AAC/ARQC, отсутствие проверки поля суммы для схем общественного транспорта и отсутствие проверок целостности поля MCC (касается всех трех платежных систем и кошельков), платежи Google Pay выше лимитов NoCVM и так далее.

В Positive Technologies заявляют, что уведомили Apple, Google и Samsung  о проблемах в марте, январе и апреле 2021 года соответственно. Специалисты этих компаний ответили, что не собираются вносить никаких изменений в свои системы, но попросили разрешения поделиться выводами экспертов с представителями платежных системам. К сожалению, последние так и не вышли на контакт с Positive Technologies.

Исследователи говорят, что и сами пытались связаться с техническими специалистами Visa и Mastercard, однако так и не получили ответа. При этом нужно отметить, что в конце сентября часть вышеперечисленных выводов повторила и обнародовала другая команда исследователей — из университетов Бирмингема и Суррея.

Источник 📢