Mobile AppSec World
5.27K subscribers
142 photos
8 videos
19 files
675 links
Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое...

По всем вопросам - @Mr_R1p
Download Telegram
Взлом Google Pay, Samsung Pay и Apple Pay

Все мы пользуемся таким уже привычным NFC. Ведь это так удобно, взял с собой телефон и никакие карты или наличка уже не нужны. Но как это работает внутри и главный вопрос - насколько это безопасно?

Я столкнулся с проблемой лично только один раз, когда ехал в автобусе, читал очередную статью, во время поворота неудачно прислонился вплотную к валидатору. И оплатил поездку, хотя не собирался этого делать 😄

Эта ситуация стала поводом начать разбираться в процессе привязки, оплаты, подтверждения и всего остального, связанного с картами в телефоне. Стало просто интересно, а что еще можно сделать и каким образом?

В процессе ознакомления мне много помогали коллеги из банковского сектора, а также шикарные материалы от Тимура Юнусова, потрясающего researcher'a и автора многочисленных статей по безопасности и различным атакам на банковские карты:
- Ата­куем бес­контак­тные кар­ты
- Как работа­ют ата­ки на чиповые кар­ты
- Как хакеры кра­дут день­ги с бан­ков­ских карт
- Раз­бира­емся, как работа­ют сис­темы безопас­ности кре­дит­ных карт

Очень рекомендую их прочитать (а еще посмотреть его выступления), чтобы понять как все устроено и какие атаки в принципе возможны. Написано очень и очень подробно с максимальным погружением в тематику.

Но сегодня не об этом, а о новой статье Тимура - "Взлом Google Pay, Samsung Pay и Apple Pay". Да, это как раз статья о том, какие атаки становятся возможными благодаря такой удобной и полезной функциональности наших устройств - бесконтактная оплата.
Не хочу раскрывать все детали, приведу лишь несколько слов автора, после которых очень хочется перечитать статью еще раз:

Атаки, которые возможны до сих пор:
1. Транспортная карта Visa + ApplePay — безлимитные платежи на заблокированном, разряженном или украденном устройстве. Также до сих пор возможны платежи по кошелькам Visa + Google Pay, тут с 2019 года ничего не изменилось.
2. MasterCard + Google Pay — возможно клонирование транзакций, когда украденной информации будет достаточно для совершения определенного числа платежей.
3. Остальные вариации карта + кошелек — атаки возможны только при манипуляции Transaction Stream.

Статья размещена на Хакер и пока что находится в закрытом доступе, но спасибо автору, он отправил мне PDF, чтобы все могли прочитать и ознакомиться с результатами исследования. И это действительно того стоит, очень и очень рекомендую всем, кому интересна тема бесконтактных платежей, как они устроены и как получить деньги с разряженного iPhone.

Приятного чтения!

#visa #mastercard #applepay #samsungpay #googlepay #research