Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Исследователи рассказывают об уязвимостях в Apple Pay, Google Pay и PayPal

22/08/24

hack143

Группа исследователей из Массачусетского университета и Государственного университета Пенсильвании обнаружила критические уязвимости в популярных цифровых кошельках Apple Pay, Google Pay и PayPal. Их исследование, представленное на недавней конференции Usenix Security 2024, показало, что злоумышленники могут добавлять в свои цифровые кошельки номера украденных кредиток и совершать с ними покупки, даже если владелец решил заблокировать карту, пишет Securitylab.

По словам Раджи Хаснайна Анвара, докторанта кафедры электротехники и информатики UMass Amherst и ведущего автора исследования, главная проблема – бреши в системах аутентификации приложений для цифровых кошельков и банков США.

Типичный сценарий такой атаки выглядит следующим образом. Сначала злоумышленник (назовем его Саша) крадет кредитную карту. Зная имя держателя карты, напечатанное на ней, Саша определяет адрес жертвы, используя онлайн-базы данных. Затем он пытается добавить украденную карту в различные цифровые кошельки. Поскольку каждый кошелек использует разные методы аутентификации, преступник выбирает тот, где для подтверждения достаточно указать адрес или почтовый индекс.

После этого Саша может продолжать пользоваться кредиткой, даже если владелец ее заблокирует. Проблема в том, что банки не проверяют, действительно ли кошелек принадлежит держателю карты при обновлении токена авторизации. Вместо этого они автоматически переносят токен на новую карту, выпущенную взамен утраченной.

Кроме того, банки разрешают проведение повторяющихся транзакций, даже если карта заблокирована. Это тоже можно использовать в атаке. Например, Саша может зарегистрироваться на сайте Turo.com, добавить туда скомпрометированный счет как способ оплаты, а затем забронировать и оплатить поездку. Несмотря на то, что кредитка неактивна, Turo все равно проведет оплату, маркируя ее как «повторяющуюся».

Злоумышленник также может обмануть банк, чтобы тот использовал менее надежные методы аутентификации при добавлении карты в цифровой кошелек. Вместо двухфакторной аутентификации (SMS, email или звонок) Саша может просто ввести дату рождения и последние 4 цифры СНС, которые часто можно найти в открытых источниках. В магазинах кассиры тоже не обязаны проверять личность держателя карты — достаточно верификации устройства.

Исследователи сообщили о найденных уязвимостях ведущим банкам и разработчикам кошельков в апреле 2023 года. Google подтвердил, что работает над их устранением, однако другие компании пока не предприняли ответных действий. Apple, PayPal и Bank of America не отвечают на запросы журналистов.

Темы:ИсследованиеУгрозыкредитные картыплатёжные системыуниверситетские исследования
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...