Уязвимость платежей, связанная с iPhone и картами Visa, недавно снова привлекла внимание: исследователи использовали технологию NFC, чтобы «украсть» 10 000 долларов с iPhone ютубера Маркеса Браунли (MKBHD), оставив телефон заблокированным.
Этот метод атаки был продемонстрирован в последнем видеоролике известного научно-популярного канала Veritasium. Суть этого метода атаки заключается в том, чтобы заставить iPhone думать, что он подносит карту к воротам общественного транспорта, тем самым позволяя снимать крупные суммы без ее разблокировки.
Этот процесс атаки изначально был разработан исследователями кибербезопасности из Университета Суррея и Университета Бирмингема в Великобритании, чтобы проверить, можно ли обойти ограничения безопасности мобильных кошельков и можно ли превысить традиционный лимит суммы транзакций, когда iPhone заблокирован. Соответствующее исследование было обнародовано еще в 2021 году, и на этот раз Veritasium на примере мобильного телефона MKBHD полностью воспроизвела процесс атаки и успешно осуществила платеж на сумму 10 000 долларов со своего заблокированного iPhone.
Атака основана на тщательно сконструированной аппаратной системе «человек посередине». Сначала злоумышленник использует устройство считывания карт NFC для перехвата данных связи между iPhone и терминалом Quick Pass продавца. Считыватель подключается к портативному компьютеру, который собирает и пересылает данные платежа на другой «сгоревший телефон» (временный телефон), который затем «прикасается» к реальному платежному терминалу для завершения транзакции. Чтобы обойти защиту iPhone, злоумышленнику также придется настроить устройство NFC на тот же идентификатор терминала, что и настоящие ворота общественного транспорта, что сделает его похожим на обычное движение транспорта.

Стоит отметить, что данная атака применима не ко всем пользователям и требует выполнения ряда предварительных условий: жертва должна включить на iPhone «Режим экспресс-транзата» и установить карту Visa в качестве платежной карты по умолчанию в этом режиме. Исследователи отметили, что это недостаток системы безопасности в системе Visa, а не системный недостаток самого iPhone; тот же метод не будет работать при привязке карт MasterCard или American Express, поскольку в этих сетях используются разные механизмы безопасности. В лагере Android Samsung Pay на устройствах Samsung не подвержена этой уязвимости, и вся атака требует наличия определенной комбинации «iPhone + Visa + Rapid Transit Mode».
Apple сообщила Veritasium, что это проблема безопасности на уровне системы Visa, а не общий риск для платформы iPhone, и подчеркнула, что вероятность реализации такого сценария атаки в реальной жизни крайне мала. Visa ответила Veritasium, что воспроизвести атаку такого типа в крупномасштабной реальной среде крайне нереально. Любые подозрительные транзакции также могут быть оспорены и восстановлены через каналы эмитента карты, и мы еще раз повторяем, что пользователи защищены «политикой нулевой ответственности» Visa.
Исследователи, предложившие эту модель атаки, предполагают, что пользователи, обеспокоенные риском, могут не устанавливать свою карту Visa в качестве способа быстрой оплаты проезда в общественном транспорте на своем iPhone, чтобы отрезать эту потенциальную цепочку атак от источника. Для обычных пользователей, даже если они относятся к комбинации конфигураций высокого риска, злоумышленникам все равно необходим тесный контакт, профессиональное оборудование и тщательная настройка, которые объективно существенно повышают порог внедрения.