Демонстрација на популарниот научен канал Veritasium, во која беше извршено неовластено плаќање од 10.000 долари од заклучен паметен телефон на технолошкиот рецензент Маркес Браунли, откри безбедносен пропуст кај Apple Pay системот, кој сепак не е баш едноставно да може да се искористи.
Се работи за специфичен безбедносен пропуст откриен од истражувачи од Универзитетите во Сари и Бирмингем, кој директно ги засега корисниците на Apple Pay кои имаат поставено Visa картичка во таканаречениот експресен режим за патување.
Оваа опција е дизајнирана да им овозможи на корисниците брзо плаќање на терминалите во јавниот превоз, на пример, без потреба од отклучување на уредот со биометриски податоци или лозинка. Функцијата во основа повеќе е замислена за картичките од превозните компании, а не платежните, но сепак може да се вклучи за сите картички кои се внесени во Apple Wallet.
Самиот напад се категоризира како напад со посредник во кој се користи стандардна радио опрема за манипулација со комуникацијата помеѓу телефонот и терминалот за наплата. Истражувачите откриле дека системите за јавен превоз емитуваат специфичен код кој го активира дигиталниот паричник. Со пресретнување и емитување на овој код, напаѓачот може да го измами заклучениот iPhone да регистрира дека се наоѓа пред терминал за јавен превоз, додека всушност комуницира со стандарден терминал за наплата.
Овој процес целосно го заобиколува заклучениот екран и дозволува извршување на трансакции кои драстично го надминуваат стандардниот лимит за бесконтактни плаќања.
Важно е да се напомене дека ранливоста има строго дефиниран опсег и не ги засега сите корисници на дигитални паричници. Пропустот постои исклучиво при интеракцијата помеѓу системите на Apple Pay и Visa кога картичката е поставена за транзитен режим.
Користењето на Mastercard во рамките на екосистемот на Apple, како и користењето на Visa картички преку други платформи, не се подложни на овој специфичен метод на напад.
Иако засегнатите компании се свесни за овој пропуст, комплексноста на инфраструктурата и потребата од усогласување на протоколите оставаат простор за злоупотреба сè додека не се имплементира системско решение.
Додека не се понуди конечна софтверска закрпа, најдобрата заштита за корисниците е превенцијата. Режимот за „експресно“ плаќање не е вклучен автоматски, а и не се препорачува за платежните картички. Тоа значи дека корисниците не треба да се загрижени дека Apple Pay системот е небезбеден и можат слободно да продолжат да го користат, но подобро би било доколку го исклучат „експресниот“ режим од нивната картичка.
