Nieuws
image

Kwetsbaarheid in Apple Pay maakt betaling met vergrendelde iPhone mogelijk

donderdag 30 september 2021, 10:04 door Redactie, 8 reacties

Een kwetsbaarheid in Apple Pay met een gekoppelde Visa-creditcard maakt het mogelijk om met een vergrendelde iPhone betalingen uit te voeren. Een aanvaller hoeft zodoende alleen over een gestolen iPhone te beschikken om transacties uit te voeren. De transacties zijn echter ook via een iPhone in iemands tas uit te voeren, zo stellen onderzoekers van de Universiteit van Birmingham en de Universiteit van Surrey.

De kwetsbaarheid doet zich voor wanneer "Express Transit" is ingesteld voor een Visa-creditcard in de Apple Wallet. Express Transit is een optie waarmee gebruikers contactloze betalingen kunnen uitvoeren zonder hun telefoon te ontgrendelen of een app te openen. Ook is er geen authenticatie vereist zoals Face ID, vingerafdruk of een passcode, alleen het plaatsen van het toestel in de buurt van een contactloze lezer is voldoende. De optie wordt bijvoorbeeld in het openbaar vervoer gebruikt om reizigers bij de toegangspoortjes te laten betalen voor hun reis.

Door middel van eenvoudige radioapparatuur wisten de onderzoekers een code te identificeren die door toegangspoortjes wordt uitgezonden. Deze code ontgrendelt Apple Pay, zodat de reiziger via zijn telefoon kan betalen. De code is echter ook te gebruiken om de signalen tussen de iPhone en de kaartlezer van een winkel te beïnvloeden.

Door de code uit te zenden en andere velden in het gebruikte protocol aan te passen wisten de onderzoekers de iPhone te laten denken dat het met een toegangspoortje communiceerde, terwijl er in werkelijkheid met een kaartlezer van een winkel werd gecommuniceerd. Tegelijkertijd wisten de onderzoekers de kaartlezer ervan te overtuigen dat de iPhone de autorisatie door de gebruiker had voltooid, waardoor elk bedrag kan worden opgenomen zonder dat de gebruiker hier weet van heeft, aldus de onderzoekers. Die voegen toe dat een aanvaller geen medewerking van de winkel nodig heeft.

Volgens het onderzoeksteam ligt het probleem zowel bij Apple als Visa, maar willen beide partijen geen verantwoordelijkheid nemen en een oplossing uitrollen, waardoor gebruikers nog altijd kwetsbaar zijn. Het probleem doet zich niet voor bij Mastercard op iPhones of Visa in combinatie met Samsung Pay. Gebruikers van Apple Pay met Visa kunnen controleren of Transit Express staat ingeschakeld en dit indien gewenst uitschakelen.

"Er is geen reden voor Apple Pay-gebruikers om risico te lopen, maar totdat Apple en Visa dit oplossen is dat wel het geval", zegt onderzoeker Tom Chothia. In onderstaande video demonstreren de onderzoekers hoe ze via een vergrendelde iPhone een betaling van duizend pond uitvoeren.

Image

Reacties (8)
30-09-2021, 10:30 door Anoniem
Ik maak mij wat minder zorgen over deze kwetsbaarheid, omdat er procedures bestaan om bij misbruik van een creditcard je geld terug te krijgen. https://duckduckgo.com/?t=ffab&q=misbruik+creditcard+geld+terug&ia=web
30-09-2021, 10:53 door Bitje-scheef
Door Anoniem: Ik maak mij wat minder zorgen over deze kwetsbaarheid, omdat er procedures bestaan om bij misbruik van een creditcard je geld terug te krijgen. https://duckduckgo.com/?t=ffab&q=misbruik+creditcard+geld+terug&ia=web

Hmmm, dat is alleen als CC-maatschappij dit goedkeurd. Dan speelt natuurlijk de vraag wanneer wel en wanneer niet. Moment van aangifte e.d.
30-09-2021, 11:04 door Anoniem
Door Anoniem: Ik maak mij wat minder zorgen over deze kwetsbaarheid, omdat er procedures bestaan om bij misbruik van een creditcard je geld terug te krijgen. https://duckduckgo.com/?t=ffab&q=misbruik+creditcard+geld+terug&ia=web
Dat mag dan zo zijn maar hoeveel kwetsbaarheden heeft een smartphone, die niet bekend zijn en waar
je bijvoorbeeld geld van een bankrekening kunt afhalen en dan moet je dat kunnen bewijzen, wat wel erg
moeilijk gaat worden. De banken nemen geen verantwoording want het is jou schuld.

Door dit soort zaken kan ik mij best wel ergeren als ze beweren dat bankzaken doen met een smartphone
zo veilig is. Ze kunnen dat niet waar maken, zij weten namelijk niet wat voor bugs er allemaal zijn. En mocht
iemand dit anders zien dan vraag ik waarom hij deze bug niet eerder heeft gemeld.
30-09-2021, 11:19 door Erik van Straten
Door Anoniem: Ik maak mij wat minder zorgen over deze kwetsbaarheid, omdat er procedures bestaan om bij misbruik van een creditcard je geld terug te krijgen.
Die procedures zijn er vooral voor betalingen op websites waarbij je geen andere mogelijkheid hebt dan alle gegevens vermeld op jouw creditcard in te vullen.

Deze kwetsbaarheid is, naar verluidt, nog niet opgelost omdat Visa en Apple elk van de ander vinden dat zij dit moeten fixen. Als je via de beschreven truc bestolen wordt, zit het er dik in dat die bedrijven ook naar elkaar zullen wijzen voor wie jouw schade moet vergoeden. Los daarvan heb je zelf voor "express transit" gekozen, dus schat ik de kans dat je wat terugkrijgt, sowieso in als zeer klein.

Een indirect gevolg is dat dit de kans op diefstal van iPhones vergroot, ook als de dief niet weet of Apple Pay gelinkt is aan een Visa kaart en "express transit" aan staat. Van "geen transactie-limiet" zullen veel dieven watertanden; als je maar genoeg iPhones steelt zit er vast wel eentje tussen waarmee deze aanval slaagt.

Ik vind het dan ook onverantwoordelijk van Apple dat zij überhaupt zo'n "express transit" optie beschikbaar hebben gesteld. Terurgdraaien is lastig omdat ook dat boze klanten zal opleveren. Als zij dit soort ondoordachte dingen doen zou het mij niet verbazen als er ook andere grote risico's worden genomen - die in eerste instantie "handig" lijken maar waar (mogelijk andere) iPhone-gebruikers de dupe van worden.
30-09-2021, 11:32 door Anoniem
Al dat digi-gedoe is ook zo vreselijk veilig!
30-09-2021, 11:51 door Anoniem
Door Erik van Straten:
Door Anoniem: Ik maak mij wat minder zorgen over deze kwetsbaarheid, omdat er procedures bestaan om bij misbruik van een creditcard je geld terug te krijgen.
Die procedures zijn er vooral voor betalingen op websites waarbij je geen andere mogelijkheid hebt dan alle gegevens vermeld op jouw creditcard in te vullen.

Deze kwetsbaarheid is, naar verluidt, nog niet opgelost omdat Visa en Apple elk van de ander vinden dat zij dit moeten fixen. Als je via de beschreven truc bestolen wordt, zit het er dik in dat die bedrijven ook naar elkaar zullen wijzen voor wie jouw schade moet vergoeden. Los daarvan heb je zelf voor "express transit" gekozen, dus schat ik de kans dat je wat terugkrijgt, sowieso in als zeer klein.

Een indirect gevolg is dat dit de kans op diefstal van iPhones vergroot, ook als de dief niet weet of Apple Pay gelinkt is aan een Visa kaart en "express transit" aan staat. Van "geen transactie-limiet" zullen veel dieven watertanden; als je maar genoeg iPhones steelt zit er vast wel eentje tussen waarmee deze aanval slaagt.

Ik vind het dan ook onverantwoordelijk van Apple dat zij überhaupt zo'n "express transit" optie beschikbaar hebben gesteld. Terurgdraaien is lastig omdat ook dat boze klanten zal opleveren. Als zij dit soort ondoordachte dingen doen zou het mij niet verbazen als er ook andere grote risico's worden genomen - die in eerste instantie "handig" lijken maar waar (mogelijk andere) iPhone-gebruikers de dupe van worden.
Onverantwoordelijk of niet: één ding weet ik wel, je kunt je phone op afstand op slot zetten via je eigen iCloud-profiel met een ander Apple-apparaat als de iPhone is gestolen. Ik beweer niet dat dit alles oplost (geld kwijt via je creditcard), maar het is zeker niet waar dat een bezitter van een gestolen iPhone meteen niets doen kan.
30-09-2021, 14:25 door Anoniem
Ja je kunt je geld wellicht terug krijgen maar zulke kosten worden uiteindelijk wel doorgerekend aan klanten. Dus als er veel fraude voorkomt gaan de kosten voor je credit card omhoog. Voordeel is dat misbruik waarschijnlijk wel mee valt. Het is veel werk voor relatief weinig geld. De gemiddelde cybercrimineel kan sneller op andere manieren geld verdienen.
02-10-2021, 16:58 door Anoniem
Hoezo, en ik dacht dat Apple superveilig was? Dus je betaalt (indirect) 0,2% voor onveilige software? En dan nog 's 2% voor de credietkaartcompany (de handelaar betaalt die kosten, maar die rekent die altijd door - wees gerust!).
We betalen dus om te mogen betalen - jaja!
En het is nog niet eens zeker dat die gegevens die men oogst door ons transactiegedrag - niet ook nog 's doorverkocht worden...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure