histats

Comment les pirates peuvent effacer votre compte bancaire avec les applications Apple et Samsung Pay-and-Pay

Comment les pirates peuvent effacer votre compte bancaire avec les applications Apple et Samsung Pay-and-Pay


Il était peut-être imprudent de céder le contrôle de mon iPhone à Timur Yunosov, un chercheur russe en cybersécurité qui a développé un penchant pour l’exploitation des vulnérabilités des appareils de paiement. Quelques minutes après le lui avoir donné, Yunosov a vidé mon compte bancaire déjà vide et l’a mis à découvert, simplement en frappant l’appareil verrouillé sur un terminal.

Heureusement, Yunosov est un hacker bienveillant qui fait le commerce de Positive Technologies, basé à Moscou (qui fait actuellement face aux conséquences des sanctions américaines sur l’aide présumée aux agences de sécurité du Kremlin). Il a renvoyé l’argent peu de temps après avoir montré les hacks, prouvant des vulnérabilités connues de longue date et toujours non résolues dans une fonctionnalité Apple Pay qui permet aux gens de payer pour des options de transport comme le métro de Londres ou le transit de New York avec un simple push and go, avec quoi vous n’avez pas besoin de déverrouiller le téléphone.

En septembre, des chercheurs des universités de Birmingham et de Surrey ont montré la même attaque que Yunosov. Ils avaient trouvé un moyen de faire croire à un téléphone qu’il permettait des paiements à un carrefour pour les trains, alors qu’en fait, ils pouvaient être utilisés sur n’importe quel type de terminal de vente au détail, ou un terminal contrôlé par un pirate informatique qui pouvait mettre de l’argent directement dans une banque criminelle. Compte.

Mais Yunosov a non seulement montré ce qui pouvait être fait sur un appareil Apple, il a également montré Forbes une attaque sur un téléphone Samsung. Bien qu’il soit un peu plus compliqué, avec un Samsung volé utilisant la fonction push-and-go, il pouvait le ramener à la maison et le vider pour de l’argent sans avoir à le déverrouiller. Ce n’est pas la même chose que son hack Apple, qui peut tout aussi bien fonctionner dans un magasin, avec un appareil dit “man-in-the-middle” qui permet d’utiliser un appareil verrouillé sur un terminal de paiement ordinaire. Mais cela représente toujours une menace pour quiconque perd son appareil Samsung au profit d’un voyou à l’esprit technique.

La même méthode utilisée pour cracker Apple Pay aurait pu être utilisée avec un compte Samsung Pay lié à une MasterCard jusqu’en juin 2021 environ. “Mais à un moment ils ont résolu le problème discrètement et ne m’ont pas informé”, explique Yunosov.

Tout comme pour les voyageurs, pour les criminels, c’est l’avantage supplémentaire que la fonction push-and-go continue de fonctionner lorsqu’un téléphone est à court de batterie et s’éteint. “Si vous utilisez une carte Visa sur Apple Pay, n’importe qui peut prendre votre téléphone – même sans frais – aller dans un magasin de luxe sur Bond Street et acheter quelque chose avec votre téléphone”, m’a expliqué plus tard Yunosov par e-mail. Et il n’y a pas de limite au montant pouvant être transféré. Dans notre démo, ce n’était que quelques kilos, mais cela peut monter par milliers lors d’une véritable attaque.

Il y a des réserves évidentes. Les hacks ne fonctionnent que si l’attaquant a un accès physique au téléphone. Et puisque MasterCard et Google ont pris certaines mesures pour résoudre les problèmes, les hacks ne fonctionnent que là où les cartes Visa sont standard pour les paiements de transport mobile, explique Yunosov.

Apple, Visa, MasterCard répondent

Samsung n’avait pas commenté au moment de la publication. Dans l’ensemble, Apple et les sociétés émettrices de cartes de crédit ne pensent pas que ces attaques constituent une menace réelle dans le monde réel.

Un porte-parole d’Apple a déclaré: “C’est un problème avec un système Visa, mais Visa ne pense pas que ce type de fraude soit susceptible de se produire dans le monde réel compte tenu des nombreuses couches de sécurité en place. Dans le cas peu probable où un paiement non autorisé se produirait , Visa a clairement indiqué que ses titulaires de carte sont protégés par la politique de responsabilité zéro de Visa. »

Un porte-parole de Visa a ajouté : « Les cartes Visa connectées à des portefeuilles mobiles avec des fonctionnalités de transit sont sécurisées et les titulaires de carte doivent continuer à les utiliser en toute confiance. effectuer à grande échelle dans le monde réel.Davantage de couches de sécurité sont utilisées pour protéger les paiements et les consommateurs bénéficient de la garantie de responsabilité zéro de Visa.Visa prend toutes les menaces de sécurité au sérieux et développe en permanence ses fonctions de sécurité des paiements pour protéger les titulaires de cartes contre les dernières menaces dans le monde réel. monde.”

Un porte-parole de MasterCard a déclaré : « Les titulaires de carte peuvent être assurés que le paiement avec MasterCard est sûr et sécurisé ; Ils sont toujours protégés quand et où ils choisissent de payer. Notre priorité fondamentale est d’assurer la sécurité de toute transaction MasterCard. Nous utilisons les dernières technologies en matière de cyber, de biométrie et d’IA pour identifier et arrêter la menace de fraude à chaque étape du processus d’achat. . . . Ce scénario académique nous a été adressé par le biais de notre programme de divulgation responsable, et même s’il était extrêmement limité en dehors d’un environnement de laboratoire, nous avons abordé le problème potentiel. »

Cependant, Yunosov pense que la menace persiste et est réelle. Pour toutes les personnes impliquées, la meilleure protection est simple : désactivez la fonction de transport.

See also  La Corée du Nord considérée comme coupable derrière le piratage de la chaîne de blocs Harmony à 100 millions de dollars

You may also like...

Leave a Reply

Your email address will not be published.