Araştırmacılar, birinin çalıntı, kilitli bir iPhone’u binlerce dolarlık mal veya hizmet için kimlik doğrulama gerektirmeden Apple Pay aracılığıyla ödeme yapmak için kullanabileceğini gösterdi.
Araştırmacılar, kilitli bir iPhone çalan bir saldırganın, telefonun kilidini açmadan binlerce dolara kadar temassız ödeme yapmak için saklanan bir Visa kartını kullanabileceği konusunda uyarıyor.
İngiltere Ulusal Siber Güvenlik Merkezi (NCSC) tarafından desteklenen Birmingham ve Surrey Üniversitelerinden bir akademik ekibe göre, sorun hem Apple Pay hem de Visa sistemlerindeki yamalanmamış güvenlik açıklarından kaynaklanıyor. Ancak Visa, Apple Pay ödemelerinin güvenli olduğunu ve herhangi bir gerçek dünya saldırısını gerçekleştirmenin zor olacağını söyledi.
Ekip, kart okuyucularda sahte ödemelerin “Express Transit” modunda Visa kartı ayarlanmış herhangi bir iPhone kullanılarak yapılabileceğini açıkladı. Express Trans, insanların cihazlarının kilidini açmadan ücretlerini ödemek için telefonlarını bir okuyucuya dokundurmalarına olanak tanır.
Bu hafta yayınlanan bir yazıya göre, “Bir saldırganın yalnızca çalınmış, açık bir iPhone’a ihtiyacı var” . “İşlemler, bilgisi olmadan birinin çantasındaki bir iPhone’dan da aktarılabilir.”
Kavram kanıtı videosunda araştırmacılar, kilitli bir iPhone’dan standart, transit olmayan bir Europay, Mastercard ve Visa (EMV) kredi kartı okuyucusuna 1.000 sterlinlik bir ödemenin gönderildiğini gösterdi.
Pen Test Partners araştırmacısı Ken Munro “Mantıksal olarak, metroda birinin arka cebindeki cüzdanına temassız bir kart makinesine dokunmak ilginç bir gelişme” dedi. “Ancak, çalıntı bir telefonla dolandırıcılık tehdidi konusunda daha fazla endişeliyim. Geçmişte, PIN, çalınan bir telefondan dolandırıcılığı önlerdi. Şimdi, Express Transit etkinleştirilmiş bir telefonun çalınmasını gerçekten oldukça değerli kılan geçerli bir saldırı yöntemi var.”
Apple Pay Ekspres Taşıma Modundan Yararlanma
Gazeteye göre saldırı, aktif bir ortadaki adam tekrarı ve röle saldırısıdır. Apple Pay’de geçiş kartı olarak ayarlanmış bir Visa kartına (kredi veya banka kartı) sahip olmak için bir iPhone gerekir.
Saldırganların, geçiş için meşru bir bilet bariyerini taklit eden bir terminal kurması gerekir. Araştırmacılar, bunun ucuz, ticari olarak temin edilebilen bir radyo ekipmanı kullanılarak yapılabileceğini söyledi. Bu, iPhone’u meşru bir Ekspres Toplu Taşıma seçeneğine bağlandığına inandırır ve bu nedenle kilidinin açılması gerekmez.
Ekip, “Standart olmayan bir bayt dizisi (Magic Bytes), standart ISO 14443-A WakeUp komutundan önce geliyorsa, Apple Pay bunu bir aktarım EMV okuyucusu ile bir işlem olarak değerlendirecektir” dedi.
Bu kötü niyetli okuyucu sahteciliği terminali yayınlandığında, bir sonraki adım, Apple Pay’den gelen ödeme yetkilendirme sinyallerini öykünücü aracılığıyla durdurmak ve mağazalarda bulunanlar gibi günlük, transit olmayan temassız ödeme okuyucularına iletmektir. Bu, araştırmacıların Android telefonda çalıştırdıkları özel bir uygulama ile yapabildikleri bir şey. Uygulama, iPhone’a gelen ve iPhone’dan gelen iletişimleri değiştirir.
“EMV mesajlarını aktarırken, EMV terminali tarafından gönderilen Terminal İşlem Niteleyicilerinin (TTQ) değiştirilmesi gerekiyor” açıklamasını yaptılar. Özellikle, “Çevrimiçi Yetkilendirmeler için Çevrimdışı Veri Kimlik Doğrulaması (ODA)” özelliğinin yanı sıra “EMV modu desteklenir” ayarını açar.
Yazıya göre, “Bu değişiklikler, işlem temassız sınırın altındaysa, bir işlemin aktarım olmayan bir EMV okuyucusuna iletilmesine izin vermek için yeterlidir”. Temassız limit, bir kişinin telefonda biyometrik veya şifre yoluyla resmi olarak kimlik doğrulaması yapmadan teknolojiyi kullanarak yapabileceği en yüksek ödeme tutarıdır.
Bununla birlikte, araştırmacılar, iletişimde sadece bir başka ince ayar yaparak temassız limitin üzerinde işlem yapabileceklerini buldular. Bunu yapmak için, “iPhone tarafından gönderilen Kart İşlem Niteleyicileri (CTQ), Tüketici Aygıtı Kart Sahibi Doğrulama Yöntemi için bit (bayrak) ayarlanacak şekilde değiştirilmelidir… CTQ değeri, iPhone tarafından gönderilen iki mesajda görünür ve her iki durumda da değiştirilebilir.”
“Bu, EMV okuyucusunu cihaz üzerinde kullanıcı kimlik doğrulamasının (örneğin parmak izi ile) gerçekleştirildiğine inandırıyor.”
Ayrıca, bir aktarma saldırısı olduğu için Munro, ödemeyi alan kart makinesinin internete bağlı olduğu sürece dünyanın herhangi bir yerinde olabileceğine dikkat çekti.
“Şimdi, işlem başka bir yere aktarılabileceğinden, kart makinesinin bulunmasına gerek yok” dedi. “Bu olası bir saldırı mı? Muhtemelen.”
Visa, Apple Pay’in Kusurları Yamasız Kaldı
Akademik ekip, bu saldırının hem Apple Pay hem de Visa sistemlerindeki kusurların bir kombinasyonu ile mümkün olduğunu belirtti.
Yazıya göre, “Bu güvenlik açığının ayrıntıları Apple (Ekim 2020) ve Visa (Mayıs 2021)’e açıklandı. “Her iki taraf da güvenlik açığının ciddiyetini kabul ediyor, ancak hangi tarafın bir düzeltme uygulaması gerektiği konusunda anlaşmaya varmadı.”
Ancak Visa ve Apple, bulgularla ilgili resmi açıklamalarını dikkate alarak, sorunun ciddiyetini tam olarak kabul etmiyorlar.
Visa , BBC’ye yaptığı açıklamada , “Temassız dolandırıcılık şemalarının varyasyonları, on yıldan fazla bir süredir laboratuvar ortamlarında incelenmekte ve gerçek dünyada büyük ölçekte uygulanmasının pratik olmadığı kanıtlanmıştır” dedi.
Bu arada Apple, sorumluluğu Visa’ya kaydırdı ve çıkışa şunları söyledi: “Kullanıcıların güvenliğine yönelik her türlü tehdidi çok ciddiye alıyoruz. Bu, Visa sistemiyle ilgili bir endişedir, ancak Visa, çok katmanlı güvenlik önlemleri göz önüne alındığında, bu tür bir sahtekarlığın gerçek dünyada gerçekleşeceğine inanmıyor. Beklenmedik bir durumda yetkisiz bir ödemenin gerçekleşmesi durumunda Visa, kart sahiplerinin Visa’nın sıfır sorumluluk politikasıyla korunduğunu açıkça belirtti.”
Bununla birlikte, makalede araştırmacılar, saldırı karşısında sahtekarlık tespitinin boşuna göründüğünü söyledi: “arka uç sahtekarlık tespit kontrolleri, test ödemelerimizin hiçbirini durdurmadı” diye yazdılar.
Munro, sorunların çözülmesi gerektiğini ancak şu an için kullanıcıların Visa’yı Apple Pay’de bir ulaşım kartı olarak kullanmayarak ve eğer öyleyse, kaybolur veya çalınırsa cihazı uzaktan silerek kendilerini koruyabileceklerini kaydetti.
Threatpost’a verdiği demeçte, “Apple ve Visa’nın sorunu kimin çözmesi gerektiği konusunda tartışmasını inanılmaz buluyorum” dedi. “Bu arada tüketicilerin Ekspres Seyahat Kartı modunu kapatmaktan başka seçeneği yok. Bu yüzden tavsiyem, Visa ve Apple işlerini çözene kadar ödeme modunu devre dışı bırakmaktır. Ayarlar > Cüzdan ve Apple Pay > Ekspres Seyahat Kartı’ndadır.”
Telefon silme, iPhone’umu Bul ve iCloud aracılığıyla gerçekleştirilebilir.
Araştırmacılar, örneğin Apple Pay’de Mastercard veya Samsung Pay’de Visa gibi diğer ödeme kartlarını veya ödeme sistemlerini etkilemiyor.
