Des chercheurs des universités britanniques de Birmingham et de Surrey ont découvert une vulnérabilité dans le système de paiement sans contact Apple Pay, qui permet de retirer n'importe quelle somme d'argent de la carte bancaire qui lui est liée sans avoir besoin de déverrouiller l'iPhone. L'expérience a confirmé que la méthode ne fonctionne qu'avec les cartes bancaires Visa.
Une caractéristique du système Apple Payer, c'est qu'il ne confirme la transaction que sous certaines conditions. Pour que le paiement soit effectué, le propriétaire du smartphone doit se soumettre à une authentification et déverrouiller l'iPhone de l'une des trois manières suivantes : à l'aide de Face ID, de Touch ID ou d'un mot de passe.
Cependant, les chercheurs ont constaté que la protection Apple Le paiement peut être contourné à l'aide de la fonction intégrée Express Transit, qui vous permet de transférer des fonds à partir d'une carte Visa liée sans avoir à déverrouiller l'appareil. La fonctionnalité Express Transit a été introduite dans le système Apple Payez en 2019 en raison de la nécessité gênante de déverrouiller le téléphone à chaque fois pour payer un voyage dans le même transport public.
« En combinaison avec une carte Visa, cela peut être utile pour contourner la protection d'un iPhone verrouillé. En d'autres termes, l'attaquant peut transférer n'importe quel montant depuis le compte de la victime sans avoir à déverrouiller le smartphone", expliquent les chercheurs. Pour prouver leurs dires, des experts ont publié une vidéo montrant comment ils ont reçu un paiement de 1000 XNUMX £ depuis un iPhone verrouillé sans en connaître le mot de passe. Pour cela, ils ont utilisé un appareil mobile Proxmark qui faisait office de lecteur de carte et interagissait avec l'iPhone de la victime imaginaire et Android- un appareil faisant office de terminal de paiement. Selon l'infographie publiée, la méthode des experts fonctionne selon le principe de « l'homme du milieu ». Les experts notent qu'aujourd'hui cette vulnérabilité est toujours d'actualité, donc les utilisateurs Apple Payer avec des cartes Visa vaut vraiment la peine d'envisager cette fonctionnalité.
"Nos échanges avec Apple et Visa ont montré que lorsque les deux parties de l'industrie sont en partie responsables d'un événement, aucune n'est disposée à assumer la responsabilité et à mettre en œuvre des changements, laissant les utilisateurs vulnérables indéfiniment », a commenté Andrea Radu de l'Université de Birmingham.
Lisez aussi:
Voir les commentaires
C'est tous les mythes sur la sécurité iOS.
En gros, je le vois comme ça. Entrez la séquence d'actions dans un programmeur afin de ne pas tâtonner avec vos mains tout le temps, mettez l'appareil dans votre sac et conduisez pendant les heures de pointe, en appuyant le sac contre les téléphones portables dans les poches extérieures. Profit! Au cas où, veuillez considérer ce commentaire comme un message d'un citoyen inquiet au Département de la cybersécurité. ;)