Chuyên gia của hãng bảo mật Positive Technologies, Timur Yunusov, cho rằng các lỗ hổng trong Apple Pay, Samsung Pay và Google Pay đang cho phép những kẻ tấn công mua hàng không giới hạn.
Theo chuyên gia này, những kẻ tấn công có thể sử dụng những chiếc điện thoại thông minh bị đánh cắp mà có sẵn các lịch trình giao nhận nhanh chóng được kích hoạt mà không yêu cầu mở khóa thiết bị cho hành vi thanh toán của mình.
Cho đến tháng 6/2021, việc mua hàng có thể được thực hiện tại bất kỳ điểm nào có đặt thiết bị PoS, không chỉ trên các phương tiện giao thông công cộng. Với những chiếc iPhone, bạn có thể thực hiện thanh toán ngay cả khi pin của điện thoại đã hết.
Trước năm 2019, Apple Pay và Samsung Pay không cho phép thanh toán trừ khi điện thoại được mở khóa bằng vân tay, nhận dạng khuôn mặt hoặc mã PIN. Nhưng ngày nay, điều đó đã trở nên khả thi bằng cách sử dụng các phương tiện giao thông công cộng (hoặc chế độ Express Transit của Apple). Trong khoảng thời gian từ ngày 28/4 đến ngày 25/5/2019, hơn 48,38 triệu lượt đi tàu chỉ riêng ở London đã được thanh toán bằng cách sử dụng các phương thức không tiếp xúc như thẻ và ví di động. Năm 2018, hành khách đi tàu điện ngầm ở New York đã sử dụng thanh toán không tiếp xúc lên tới 3,37 tỷ lần.
"Ưu điểm chính của việc sử dụng các chương trình giao thông công cộng là sự tiện lợi của chúng. Sau khi bạn đã thêm thẻ thanh toán (Visa, Mastercard hoặc American Express) vào smartphone và kích hoạt nó làm thẻ giao thông, bạn có thể thanh toán cho các chuyến đi trên tàu điện ngầm mà không cần mở khóa thiết bị", Yunusov giải thích. "Tính năng này khả dụng ở một số quốc gia như Mỹ, Anh, Trung Quốc và Nhật Bản. Để thực hiện cuộc tấn công, điện thoại thông minh có Samsung Pay và Apple Pay phải được đăng ký ở các quốc gia này, nhưng thẻ có thể được phát hành ở bất kỳ khu vực nào khác. Điện thoại bị đánh cắp cũng có thể được sử dụng ở bất cứ vị trí nào. Điều tương tự cũng có thể thực hiện được với Google Pay".
"Trong quá trình thử nghiệm, các chuyên gia của chúng tôi đã liên tục tăng số tiền cho một lần thanh toán, dừng ở mức 101 bảng Anh. Tuy nhiên, hầu hết các ngân hàng thường không áp đặt thêm các hạn chế và kiểm tra đối với các khoản thanh toán được thực hiện qua Apple Pay và Samsung Pay, vì các hệ thống này được bảo vệ đầy đủ, vì vậy số tiền có thể cao hơn đáng kể. "
Vị chuyên gia này lưu ý, ngay cả các mẫu iPhone mới nhất cũng cho phép thực hiện thanh toán tại bất kỳ thiết bị đầu cuối PoS nào, ngay cả khi pin của điện thoại đã hết. Điều này yêu cầu thẻ Visa được thêm vào smartphone có bật chế độ Express Transit và số dư tài khoản dương.
Do thiếu hình thức xác thực dữ liệu ngoại tuyến (ODA), một chiếc điện thoại bị đánh cắp đã có sẵn kết nối thẻ Visa và kích hoạt ứng dụng thanh toán cho phương tiện giao thông công cộng có thể được sử dụng ở mọi nơi trên thế giới tại các thiết bị PoS, cho Apple Pay và Google Pay mà không bị hạn chế về khoản tiền thanh toán.
Đối với thẻ Mastercard, Positive Technologies đã thử và thành công trong việc thực hiện các hành động tương tự bằng cách sử dụng một lỗ hổng được các chuyên gia từ ETH Zrich tìm ra. Lỗ hổng sau đó đã được loại bỏ. Ngày nay, những kẻ tấn công cần quyền truy cập vào một số thiết bị PoS đã được điều chỉnh để thực hiện thanh toán bằng cách sử dụng điện thoại bị đánh cắp có kết nối thẻ Mastercard và American Express.
Các lỗi được xác định nằm ở vấn đề xác thực của Apple Pay và xác minh trường thông tin, nhầm lẫn trong mã AAC/ARQC, thiếu xác thực trường số tiền cho ứng dụng thanh toán phương tiện giao thông công cộng và thiếu kiểm tra tính toàn vẹn của trường MCC (áp dụng cho cả ba hệ thống thanh toán và ví), cũng như thanh toán qua Google Pay trên mức giới hạn No CVM (Cần xác thực chủ thẻ).
Positive Technologies tuân thủ các nguyên tắc tiết lộ có trách nhiệm: tất cả các lỗ hổng được tìm thấy đều được thông báo trước tiên cho các nhà sản xuất phần mềm. Nếu nhà sản xuất không trả lời bằng văn bản trong vòng 90 ngày, hãng bảo mật có quyền công bố một phần phát hiện của mình mà không đề cập đến thông tin cho phép kẻ gian khai thác lỗ hổng đã phát hiện.
Positive Technologies đã thông báo cho Apple, Google và Samsung về các lỗ hổng được phát hiện lần lượt tương ứng vào tháng 3, tháng 1 và tháng 4 năm 2021.
Yunusov nói: "Các công ty đã thông báo với chúng tôi rằng họ không có kế hoạch thực hiện bất kỳ thay đổi nào đối với hệ thống của họ nhưng đã yêu cầu được phép chia sẻ những phát hiện và báo cáo của chúng tôi với các hệ thống thanh toán, đảm bảo rằng họ sẽ thông báo cho các hệ thống thanh toán này".
"Chúng tôi đã đồng ý, nhưng không nhận được phản hồi từ đại diện của hệ thống thanh toán." Positive Technologies cũng đã cố gắng liên hệ với các chuyên viên kỹ thuật của Visa và Mastercard nhưng không hề nhận được phản hồi.
Trong khi đó, vào cuối tháng 9, một nhóm các nhà nghiên cứu khác từ Đại học Birmingham và Đại học Surrey của Vương quốc Anh đã đưa ra và công bố một số kết luận tương tự do Positive Technologies đưa ra trước đó. Vào năm 2017, Positive Technologies đã phát hiện ra các điểm yếu bảo mật trong Apple Pay có thể (và vẫn có thể) cho phép thanh toán trực tuyến gian lận bằng Apple Pay. Vào năm 2019, hai chuyên gia của Positive Technologies, Leigh-Anne Galloway và Tim Yunusov đã phát hiện ra lỗ hổng cho phép tin tặc vượt qua giới hạn thanh toán trên thẻ không tiếp xúc Visa và ví di động Google Pay bằng thẻ Visa. Vào năm 2020 và 2021, Positive Technologies đã báo cáo các lỗ hổng trong các thiết bị đầu cuối Verifone, Ingenico và PAX PoS, một số trong số đó có thể bị khai thác từ xa.
