Comment les pirates peuvent vider votre compte bancaire avec les applications tap-and-pay d’Apple et de Samsung
Il était peut-être imprudent de céder le contrôle de mon iPhone à Timur Yunosov, un chercheur russe en cybersécurité qui a développé un penchant pour l’exploitation des vulnérabilités des appareils de paiement. Quelques minutes après le lui avoir remis, Yunosov a vidé mon compte bancaire déjà vide, le transformant en découvert, en appuyant simplement sur l’appareil verrouillé sur un terminal.
Heureusement, Yunosov est un hacker bienveillant qui exerce son métier avec Positive Technologies, basé à Moscou (qui fait actuellement face aux retombées des sanctions américaines sur l’assistance présumée aux agences de sécurité du Kremlin). Il a renvoyé l’argent peu de temps après avoir montré les hacks, prouvant des vulnérabilités connues de longue date et encore non corrigées dans une fonctionnalité Apple Pay qui permet aux gens de payer pour des options de transport comme le métro de Londres ou le transit de New York en un clic rapide, avec vous pas besoin de déverrouiller le téléphone.
En septembre, des chercheurs des universités de Birmingham et de Surrey ont démontré la même attaque que Yunosov. Ils avaient trouvé un moyen de faire croire à un téléphone qu’il autorisait les paiements à un tourniquet de train, alors qu’en fait, ils pouvaient être utilisés dans n’importe quel type de terminal de vente au détail, ou un terminal contrôlé par un pirate informatique qui pouvait verser de l’argent directement sur le compte bancaire d’un criminel. .
Un chercheur russe en cybersécurité met en garde contre les hacks Apple Pay et Samsung Pay qui sont ouverts depuis des mois et pourraient permettre aux voleurs de vider les portefeuilles des gens.
Budrul Chukrut/SOPA Images/LightRocket via Getty Images
Mais Yunosov n’a pas seulement montré ce qui pouvait être fait sur un appareil Apple, il a également montré Forbes une attaque sur un téléphone Samsung. Même s’il était un peu plus compliqué, avec un Samsung volé qui utilise la fonction tap-and-go, il pouvait le ramener à la maison et le vider pour de l’argent sans avoir à le déverrouiller. Ce n’est pas la même chose que son hack Apple, qui pourrait tout aussi bien fonctionner dans un magasin, avec un appareil dit “man-in-the-middle” qui permet d’utiliser un appareil verrouillé sur un terminal de paiement ordinaire. Mais cela représente toujours une menace pour quiconque perd son appareil Samsung au profit d’un escroc à l’esprit technologique.
La même méthode utilisée pour cracker Apple Pay aurait pu être utilisée avec un compte Samsung Pay lié à une MasterCard jusqu’en juin 2021 environ. “Mais à un moment donné, ils ont résolu le problème discrètement et ne m’ont pas informé”, explique Yunosov.
Tout comme pour les voyageurs, pour les criminels, il a l’avantage supplémentaire que la fonction tap-and-go continue de fonctionner lorsqu’un téléphone est à court de batterie et s’éteint. “Si vous utilisez une carte Visa sur Apple Pay, n’importe qui peut prendre votre téléphone – même non chargé – aller dans un magasin de luxe sur Bond Street et acheter quelque chose avec votre téléphone”, m’a expliqué plus tard Yunosov par messages en ligne. Et il n’y a pas de limite au montant pouvant être transféré. Dans notre démo, il ne pesait que quelques kilos, mais il pouvait atteindre des milliers lors d’une véritable attaque.
Il y a quelques mises en garde évidentes. Les hacks ne fonctionnent que si l’attaquant a un accès physique au téléphone. Et puisque MasterCard et Google ont pris des mesures pour résoudre les problèmes, les hacks ne fonctionnent que là où les cartes Visa sont la norme pour les paiements de transport mobile, explique Yunosov.
Apple, Visa, MasterCard répondent
Samsung n’avait pas commenté au moment de la publication. Dans l’ensemble, Apple et les sociétés de cartes de crédit ne pensent pas que ces attaques représentent une grande menace dans le monde réel.
Un porte-parole d’Apple a déclaré: “C’est un problème avec un système Visa, mais Visa ne pense pas que ce type de fraude soit susceptible de se produire dans le monde réel compte tenu des nombreuses couches de sécurité en place. Dans le cas peu probable où un paiement non autorisé se produirait , Visa a clairement indiqué que ses titulaires de carte sont protégés par la politique de responsabilité zéro de Visa.
Un porte-parole de Visa a ajouté : « Les cartes Visa liées à des portefeuilles mobiles avec des capacités de transit sont sécurisées et les titulaires de carte doivent continuer à les utiliser en toute confiance. exécuter à grande échelle dans le monde réel. Plusieurs couches de sécurité sont utilisées pour protéger les paiements et les consommateurs bénéficient de la garantie responsabilité zéro de Visa. Visa prend toutes les menaces de sécurité au sérieux et développe en permanence ses fonctionnalités de sécurité des paiements pour protéger les titulaires de cartes contre les dernières menaces du monde réel. .”
Un porte-parole de MasterCard a déclaré: “Les titulaires de carte peuvent être assurés que les paiements avec MasterCard sont sûrs et sécurisés; ils sont toujours protégés quand et où ils choisissent de payer. Notre priorité fondamentale est d’assurer la sécurité de chaque transaction MasterCard. Nous utilisons les dernières technologies à travers cyber, biométrie et IA pour identifier et arrêter la menace de fraude à chaque étape du processus d’achat… Ce scénario académique a été porté à notre attention via notre programme de divulgation responsable et bien qu’extrêmement limité en dehors d’un environnement de laboratoire, nous avons abordé le problème potentiel.”
Cependant, Yunosov pense que la menace demeure et est réelle. Pour tous les concernés, la meilleure protection est simple : désactiver la fonction transport.
