Kwetsbaarheid in Apple Pay maakt betaling met vergrendelde iPhone mogelijk
Een kwetsbaarheid in Apple Pay met een gekoppelde Visa-creditcard maakt het mogelijk om met een vergrendelde iPhone betalingen uit te voeren. Een aanvaller hoeft zodoende alleen over een gestolen iPhone te beschikken om transacties uit te voeren. De transacties zijn echter ook via een iPhone in iemands tas uit te voeren, zo stellen onderzoekers van de Universiteit van Birmingham en de Universiteit van Surrey.
De kwetsbaarheid doet zich voor wanneer "Express Transit" is ingesteld voor een Visa-creditcard in de Apple Wallet. Express Transit is een optie waarmee gebruikers contactloze betalingen kunnen uitvoeren zonder hun telefoon te ontgrendelen of een app te openen. Ook is er geen authenticatie vereist zoals Face ID, vingerafdruk of een passcode, alleen het plaatsen van het toestel in de buurt van een contactloze lezer is voldoende. De optie wordt bijvoorbeeld in het openbaar vervoer gebruikt om reizigers bij de toegangspoortjes te laten betalen voor hun reis.
Door middel van eenvoudige radioapparatuur wisten de onderzoekers een code te identificeren die door toegangspoortjes wordt uitgezonden. Deze code ontgrendelt Apple Pay, zodat de reiziger via zijn telefoon kan betalen. De code is echter ook te gebruiken om de signalen tussen de iPhone en de kaartlezer van een winkel te beïnvloeden.
Door de code uit te zenden en andere velden in het gebruikte protocol aan te passen wisten de onderzoekers de iPhone te laten denken dat het met een toegangspoortje communiceerde, terwijl er in werkelijkheid met een kaartlezer van een winkel werd gecommuniceerd. Tegelijkertijd wisten de onderzoekers de kaartlezer ervan te overtuigen dat de iPhone de autorisatie door de gebruiker had voltooid, waardoor elk bedrag kan worden opgenomen zonder dat de gebruiker hier weet van heeft, aldus de onderzoekers. Die voegen toe dat een aanvaller geen medewerking van de winkel nodig heeft.
Volgens het onderzoeksteam ligt het probleem zowel bij Apple als Visa, maar willen beide partijen geen verantwoordelijkheid nemen en een oplossing uitrollen, waardoor gebruikers nog altijd kwetsbaar zijn. Het probleem doet zich niet voor bij Mastercard op iPhones of Visa in combinatie met Samsung Pay. Gebruikers van Apple Pay met Visa kunnen controleren of Transit Express staat ingeschakeld en dit indien gewenst uitschakelen.
"Er is geen reden voor Apple Pay-gebruikers om risico te lopen, maar totdat Apple en Visa dit oplossen is dat wel het geval", zegt onderzoeker Tom Chothia. In onderstaande video demonstreren de onderzoekers hoe ze via een vergrendelde iPhone een betaling van duizend pond uitvoeren.
Hmmm, dat is alleen als CC-maatschappij dit goedkeurd. Dan speelt natuurlijk de vraag wanneer wel en wanneer niet. Moment van aangifte e.d.
je bijvoorbeeld geld van een bankrekening kunt afhalen en dan moet je dat kunnen bewijzen, wat wel erg
moeilijk gaat worden. De banken nemen geen verantwoording want het is jou schuld.
Door dit soort zaken kan ik mij best wel ergeren als ze beweren dat bankzaken doen met een smartphone
zo veilig is. Ze kunnen dat niet waar maken, zij weten namelijk niet wat voor bugs er allemaal zijn. En mocht
iemand dit anders zien dan vraag ik waarom hij deze bug niet eerder heeft gemeld.
Deze kwetsbaarheid is, naar verluidt, nog niet opgelost omdat Visa en Apple elk van de ander vinden dat zij dit moeten fixen. Als je via de beschreven truc bestolen wordt, zit het er dik in dat die bedrijven ook naar elkaar zullen wijzen voor wie jouw schade moet vergoeden. Los daarvan heb je zelf voor "express transit" gekozen, dus schat ik de kans dat je wat terugkrijgt, sowieso in als zeer klein.
Een indirect gevolg is dat dit de kans op diefstal van iPhones vergroot, ook als de dief niet weet of Apple Pay gelinkt is aan een Visa kaart en "express transit" aan staat. Van "geen transactie-limiet" zullen veel dieven watertanden; als je maar genoeg iPhones steelt zit er vast wel eentje tussen waarmee deze aanval slaagt.
Ik vind het dan ook onverantwoordelijk van Apple dat zij überhaupt zo'n "express transit" optie beschikbaar hebben gesteld. Terurgdraaien is lastig omdat ook dat boze klanten zal opleveren. Als zij dit soort ondoordachte dingen doen zou het mij niet verbazen als er ook andere grote risico's worden genomen - die in eerste instantie "handig" lijken maar waar (mogelijk andere) iPhone-gebruikers de dupe van worden.
Deze kwetsbaarheid is, naar verluidt, nog niet opgelost omdat Visa en Apple elk van de ander vinden dat zij dit moeten fixen. Als je via de beschreven truc bestolen wordt, zit het er dik in dat die bedrijven ook naar elkaar zullen wijzen voor wie jouw schade moet vergoeden. Los daarvan heb je zelf voor "express transit" gekozen, dus schat ik de kans dat je wat terugkrijgt, sowieso in als zeer klein.
Een indirect gevolg is dat dit de kans op diefstal van iPhones vergroot, ook als de dief niet weet of Apple Pay gelinkt is aan een Visa kaart en "express transit" aan staat. Van "geen transactie-limiet" zullen veel dieven watertanden; als je maar genoeg iPhones steelt zit er vast wel eentje tussen waarmee deze aanval slaagt.
Ik vind het dan ook onverantwoordelijk van Apple dat zij überhaupt zo'n "express transit" optie beschikbaar hebben gesteld. Terurgdraaien is lastig omdat ook dat boze klanten zal opleveren. Als zij dit soort ondoordachte dingen doen zou het mij niet verbazen als er ook andere grote risico's worden genomen - die in eerste instantie "handig" lijken maar waar (mogelijk andere) iPhone-gebruikers de dupe van worden.
We betalen dus om te mogen betalen - jaja!
En het is nog niet eens zeker dat die gegevens die men oogst door ons transactiegedrag - niet ook nog 's doorverkocht worden...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.