[ad_1]
Une nouvelle recherche sur la sécurité affirme qu’une faille dans le mode Apple Pay Express Transit d’Apple peut être utilisée pour effectuer des paiements par carte Visa non autorisés et contourner la limite sans contact.
Des chercheurs des départements d’informatique des universités de Birmingham et de Surrey au Royaume-Uni ont publié leurs conclusions sur la façon dont une attaque de relecture et de relais active Man-in-the-Middle pourrait être utilisée pour contourner l’écran de verrouillage Apple Pay pour tout iPhone avec un Carte Visa mise en place en mode transit. Le papier précise :
L’écran de verrouillage Apple Pay peut être contourné pour n’importe quel iPhone avec une carte Visa configurée en mode transit. La limite sans contact peut également être contournée, ce qui permet des transactions sans contact EMV illimitées à partir d’un iPhone verrouillé. Un attaquant n’a besoin que d’un iPhone volé et sous tension. Les transactions pourraient également être relayées depuis un iPhone dans le sac de quelqu’un, à son insu. L’attaquant n’a besoin d’aucune aide du commerçant et les contrôles de détection de fraude en arrière-plan n’ont arrêté aucun de nos paiements de test.
Les chercheurs ont même leur propre vidéo d’un paiement de 1 000 £ prélevé sur un iPhone verrouillé à l’aide d’un lecteur EMV standard que vous trouverez dans n’importe quel magasin de la rue principale. Les chercheurs affirment que l’attaque « est rendue possible par une combinaison de failles dans le système Apple Pay et Visa », donc cela ne fonctionnerait pas avec une autre carte comme Mastercard, ou avec Visa sur une autre plate-forme comme Samsung ou Google Play.
Offres VPN : licence à vie pour 16 $, forfaits mensuels à 1 $ et plus
Les chercheurs disent qu’Apple ou Visa « pourraient atténuer cette attaque par eux-mêmes », mais après avoir présenté les informations « il y a des mois », ils affirment qu’aucun des deux n’a réparé le système et que la vulnérabilité reste active. En fait, la recherche recommande « que tous les utilisateurs d’iPhone vérifient qu’ils n’ont pas de carte Visa configurée en mode transit, et s’ils le font, ils devraient la désactiver ».
Selon la BBC, Apple affirme que le problème réside dans Visa et qu’il s’agit « d’un problème avec le système Visa ». Il a en outre déclaré :
« Nous prenons très au sérieux toute menace pour la sécurité des utilisateurs. Il s’agit d’un problème avec un système Visa, mais Visa ne pense pas que ce type de fraude est susceptible de se produire dans le monde réel compte tenu des multiples couches de sécurité en place ».
« Dans le cas peu probable où un paiement non autorisé se produirait, Visa a clairement indiqué que leurs titulaires de carte sont protégés par la politique de responsabilité zéro de Visa ».
Visa aurait déclaré que le type d’attaque détaillé par la recherche était « peu pratique » et que « les cartes Visa connectées à Apple Pay Express Transit sont sécurisées et que les titulaires de cartes doivent continuer à les utiliser en toute confiance ». Il a en outre déclaré que « des variantes de schémas de fraude sans contact ont été étudiées en laboratoire depuis plus d’une décennie et se sont avérées peu pratiques à exécuter à grande échelle dans le monde réel ».
L’un des chercheurs, le Dr Andreea Radu, a déclaré au média que bien que l’attaque ait un degré élevé de complexité technique, « les récompenses de l’attaque sont assez élevées » et pourraient devenir un véritable problème dans quelques années si elles ne sont pas résolues.
[ad_2]
Poster un Commentaire