Как заявил на конференции Black Hat Europe в Лондоне исследователь Positive Technologies Тимур Юнусов, злоумышленникам нужен только смартфон с дополнительной кредитной картой и включенными схемами общественного транспорта.
До 2019 года Apple Pay и Samsung Pay не разрешали платежи, если телефон не был разблокирован с помощью отпечатка пальца, идентификатора лица или PIN-кода. Но сегодня это стало возможным благодаря использованию схем общественного транспорта (или режима Apple Express Transit).
По словам Юнусова, уязвимости в Apple Pay, Samsung Pay и Google Pay позволяют злоумышленникам совершать неограниченные покупки с использованием украденных смартфонов с включенными схемами экспресс-транспортировки, которые не требуют разблокировки устройства для совершения платежа.
«Главное преимущество использования схем общественного транспорта - их удобство. После того, как вы добавили платежную карту (Visa, Mastercard или American Express) в свой смартфон и активировали ее в качестве транспортной карты, вы можете оплачивать поездки в метро или автобусе, не разблокируя устройство. Эта функция доступна, например, в США, Великобритании, Китае и Японии. Для проведения атаки смартфоны с Samsung Pay и Apple Pay должны быть зарегистрированы в этих странах, но карты могут быть выпущены в любом другом регионе. Украденные телефоны также можно использовать где угодно. То же самое возможно и с Google Pay», - пояснил Юнусов.
До июня 2021 года несанкционированные покупки могли производиться в любом терминале торговой точки (PoS), а не только в общественном транспорте.
До 2019 года Apple Pay и Samsung Pay не разрешали платежи, если телефон не был разблокирован с помощью отпечатка пальца, идентификатора лица или PIN-кода. Но сегодня это стало возможным благодаря использованию схем общественного транспорта (или режима Apple Express Transit).
По словам Юнусова, уязвимости в Apple Pay, Samsung Pay и Google Pay позволяют злоумышленникам совершать неограниченные покупки с использованием украденных смартфонов с включенными схемами экспресс-транспортировки, которые не требуют разблокировки устройства для совершения платежа.
«Главное преимущество использования схем общественного транспорта - их удобство. После того, как вы добавили платежную карту (Visa, Mastercard или American Express) в свой смартфон и активировали ее в качестве транспортной карты, вы можете оплачивать поездки в метро или автобусе, не разблокируя устройство. Эта функция доступна, например, в США, Великобритании, Китае и Японии. Для проведения атаки смартфоны с Samsung Pay и Apple Pay должны быть зарегистрированы в этих странах, но карты могут быть выпущены в любом другом регионе. Украденные телефоны также можно использовать где угодно. То же самое возможно и с Google Pay», - пояснил Юнусов.
До июня 2021 года несанкционированные покупки могли производиться в любом терминале торговой точки (PoS), а не только в общественном транспорте.