Met de Apple Pay-functie kan naar verluidt geld worden gestolen van vergrendelde iPhones


Een echt praktische functie in Apple’s NFC-betaalservice Apple Pay zou kunnen worden gebruikt om grote sommen geld op te nemen van VISA-kaarten. Dat meldt een team van IT-beveiligingsspecialisten van de universiteiten van Birmingham en Surrey. Het probleem is de zogenaamde express-transitfunctie, die in het Duits is “Snel openbaar vervoer” genaamd. Het activeert kaartbetalingen, zelfs wanneer de iPhone of Apple Watch is geblokkeerd – in bepaalde contexten die blijkbaar kunnen worden gerepliceerd.

In steden als Londen of New York kun je met het snel openbaar vervoer de ticketbarrières oversteken door je Apple-hardware voor de lezer te houden. In Londen is er een check-in / check-out proces: de betreffende route wordt dan van de kaart afgeschreven. In New York betaal je daarentegen direct omdat metroritten maar één prijs hebben.


Meer van Mac & i

Meer van Mac & i


Meer van Mac & i

Meer van Mac & i


Het onderzoeksteam is er nu in geslaagd om met een Android-telefoon met een speciaal ontwikkelde app tot £ 1.000 te stelen van een iPhone-gebruiker via contactloze betalingen met Visa. Naast de app is echter ook speciale draadloze hardware nodig, die dan als ticketbarrière voor de iPhone of Apple Watch fungeert om in de eerste plaats de expres-OV-functie te activeren.

Net als de beveiligingsexperts tegenover de Britse omroep BBC verder gezegd, het probleem is een zwak punt in de implementatie van het snel openbaar vervoer door Visa. Apple verwees ook de verantwoordelijkheid naar de creditcardgigant. Het zei dat het systeem nog steeds veilig was omdat “dit soort aanvallen buiten het laboratorium onpraktisch zijn”.

In de verklaring van Apple staat dat het “elke veiligheidsdreiging zeer serieus neemt”. Visa gelooft niet dat “dit soort fraude in de echte wereld waarschijnlijk is”, aangezien er “meerdere beveiligingslagen” zijn. Als een dergelijke betaling wordt gedaan, kunnen gebruikers deze weigeren. Klanten worden beschermd door het Visa “Zero Liability”-beleid.

Volgens BBC Apple en Visa werden een jaar geleden op de hoogte gebracht van het probleem. “Variaties van contactloze fraudepogingen” zijn uitgeprobeerd in het laboratorium – “al meer dan een decennium”, zei Visa. De onderzoekers erkenden ook een zekere technische complexiteit. Aangezien de mogelijke winsten van fraude hoog zijn, is dit de moeite waard, zei het.

Gebruikers kunnen zich momenteel alleen beschermen door het expres openbaar vervoer uit te schakelen – dan moet de iPhone elke keer dat een betaling wordt gedaan worden ontgrendeld bij een ticketbar via Face ID of Touch ID. Waarom Visa niet zomaar een maximumbedrag stelt aan contactloos betalen via deze methode – voor £ 1.000 gaat bijna niemand met de metro – blijft onduidelijk.


(bsc)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: