Onderzoeken vonden een kwetsbaarheid in het betalingssysteem van Apple Pay en Visa. Na het vinden van een bug die fraudeurs zouden kunnen gebruiken om beveiligingsmaatregelen te omzeilen en onbeperkt contactloze aankopen te doen, hebben onderzoekers er bij iPhone-gebruikers op aangedrongen Visa als transportkaart met Apple Pay te annuleren.
Experts van de Universiteit van Birmingham en de Universiteit van Surrey hebben hun bezorgdheid geuit dat de fout zou kunnen worden gebruikt om transacties uit te voeren vanaf een iPhone in iemands bagage zonder dat ze het weten.
Er is een beveiligingsfout in het betalingssysteem van Apple Pay en Visa
Het probleem zou zich alleen voordoen met Apple Pay wanneer een Visa-kaart is ingesteld als Express Travel Card, ook wel bekend als Express Transit-modus. Het team gebruikte eenvoudige radioapparatuur om de iPhone te laten geloven dat hij communiceerde met een transitpoort, terwijl het in werkelijkheid een betalingslezer was. Dit werd bereikt door een unieke code te detecteren die werd verzonden door transitpoorten, die vervolgens werd gebruikt om de signalen tussen de iPhone en een winkelkaartlezer te verstoren.
Dr. Tom Chothia van de Universiteit van Birmingham zei: “iPhone-bezitters moeten controleren of ze een Visa-kaart hebben die is ingesteld voor transitbetalingen en zo ja, ze moeten deze uitschakelen. Het is niet nodig dat Apple Pay-gebruikers in gevaar zijn, maar totdat Apple of Visa dit oplossen, zijn ze dat wel.”
Uit de tests van de groep bleek dat de back-end fraudedetectiecontroles niet konden voorkomen dat betalingen werden uitgevoerd. De onderzoekers zeiden dat ze met Apple en Visa hadden gesproken over de kwetsbaarheid, waarbij ze beweerden dat ze allebei de betekenis van het onderliggende probleem erkenden, maar nog geen overeenstemming hadden bereikt over wie een oplossing zou moeten implementeren.
“Variaties van contactloze fraudeschema’s zijn al meer dan tien jaar bestudeerd in laboratoriumomgevingen en zijn onpraktisch gebleken om in de echte wereld op grote schaal uit te voeren”, aldus een woordvoerster van Visa. “Visa neemt alle veiligheidsrisico’s zeer serieus en we werken onvermoeibaar om de betalingsbeveiliging in het hele ecosysteem te versterken”, voegde ze eraan toe.
Toen reageerde Apple met: “We nemen elke bedreiging voor de veiligheid van gebruikers zeer serieus. Dit is een punt van zorg met een Visa-systeem, maar Visa gelooft niet dat dit soort fraude waarschijnlijk in de echte wereld zal plaatsvinden, gezien de meerdere beveiligingslagen die aanwezig zijn. In het onwaarschijnlijke geval dat er toch een ongeautoriseerde betaling plaatsvindt, heeft Visa duidelijk gemaakt dat hun kaarthouders worden beschermd door Visa’s nul-aansprakelijkheidsbeleid.”
Apple en Visa konden het niet eens worden
Dr. Andreea Radu, de leider van het onderzoek, merkte op: “Ons werk laat een duidelijk voorbeeld zien van een functie die bedoeld is om het leven stapsgewijs gemakkelijker te maken, averechts werkt en een negatieve invloed heeft op de beveiliging, met mogelijk ernstige financiële gevolgen voor gebruikers.”
“Uit onze gesprekken met Apple en Visa bleek dat wanneer twee partijen in de sector elk gedeeltelijk de schuld hebben, geen van beiden bereid is om verantwoordelijkheid te nemen en een oplossing te implementeren, waardoor gebruikers voor onbepaalde tijd kwetsbaar zijn”, voegde hij eraan toe.
Het beveiligingslek is niet van toepassing op andere combinaties, zoals Mastercard in iPhones of Visa op Samsung Pay. De volledige bevindingen van de onderzoekers zullen worden gepresenteerd op het IEEE Symposium on Security and Privacy in 2022.