| 1 сен 2023 — 4:14 PT
Обновление: Уязвимость MTA устранена, но вопрос с Apple Pay остается. См. конец статьи.
Обнаружена недопустимая уязвимость в системе безопасности метро Нью-Йорка, позволяющая любому, кто знает номер кредитной карты и срок ее действия, отслеживать все поездки за последние семь дней.
Но гораздо более тревожным является то, что уязвимость распространяется на поездки, совершенные с использованием Apple Pay при проходе через турникеты, несмотря на то, что это должно быть совершенно невозможно…
Apple Pay Express Transit в метро Нью-Йорка
В то время как большинство систем метро начинали с требования специальных транспортных карт, большинство теперь также принимают бесконтактные платежные карты, что позволяет использовать и Apple Pay.
Чтобы еще больше упростить процесс прохождения через турникеты, Apple позже представила Apple Pay Express Transit.
Если вы выберете эту функцию, то обычный процесс аутентификации Apple Pay — с использованием Face ID на iPhone или двойного нажатия боковой кнопки на разблокированных Apple Watch — не требуется. Вместо этого вы можете просто приложить телефон или часы к бесконтактной платежной панели.
Хотя это может привести к злоупотреблению в случае физического завладения вашим устройством, транзакции отслеживаются, чтобы гарантировать, что закономерности использования соответствуют обычному использованию одним пассажиром, поэтому риск мошенничества очень низок. Все остальные функции безопасности Apple Pay должны по-прежнему применяться, включая коды одноразового использования.
Система метро Нью-Йорка начала внедрять Apple Pay Express Transit в мае 2019 года, и к концу 2020 года она стала доступна на всех станциях.
Уязвимость в системе безопасности метро Нью-Йорка
Система метро Нью-Йорка управляется Управлением транспортного развития (MTA). Хотя веб-сайт MTA предлагает возможность открыть учетную запись, для доступа к истории поездок которой требуется аутентификация, он также предоставляет мгновенный доступ к истории поездок за последние семь дней, используя только данные карты.
Требуется только номер кредитной карты и срок ее действия — даже не трех- или четырехзначный код безопасности, известный как CSC, CVC или CCV, который обычно находится на обратной стороне физических платежных карт. Это означает, что все необходимое для доступа к истории поездок за последнюю неделю можно найти на лицевой стороне большинства платежных карт.
404Media подтвердила эту уязвимость конфиденциальности в системе метро Нью-Йорка, отследив пользователя (с его разрешения), используя только данные его кредитной карты.
Однажды субботним днем в середине месяца целевой объект сел в метро Нью-Йорка. Я знал, на какой станции он вошел в метро и в какое конкретное время. Затем он вошел на другую станцию через несколько часов. Если бы я продолжал следить за этим человеком, я бы выяснил, на какую станцию метро он часто начинает поездку, которая находится рядом с его домом. Я бы также знал, в какое конкретное время этот человек может ездить в метро каждый день.
Во время всего этого мониторинга я не был рядом с пассажиром. Мне даже не нужно было видеть его своими глазами. Вместо этого я сидел в квартире, отслеживая его перемещения через функцию на веб-сайте Управления транспортного развития (MTA), которое управляет системой метро Нью-Йорка.
С его согласия я ввел информацию о кредитной карте пассажира — данные, которые часто легко купить на криминальных рынках или которые могут быть тривиально получены партнером, совершающим насилие, — и ввел ее на сайте MTA для OMNY, системы бесконтактных платежей метро. Через несколько секунд сайт выдал историю поездок пассажира за последние 7 дней, без какой-либо дополнительной проверки.
Каким-то образом поездки через Apple Pay также раскрываются
Apple Pay разработан для защиты от подобных уязвимостей. Вместо передачи фактических данных вашей платежной карты на платежный терминал используется код одноразового использования, известный как платежный криптограмма, вместе с номером устройства.
Банк или финансовое учреждение может алгоритмически согласовать эти два номера с фактическим счетом карты, но ни Apple, ни продавец не должны иметь доступа к данным вашей платежной карты.
В данном случае продавцом является MTA, и оно не должно иметь возможности видеть номер вашей фактической платежной карты. Однако сайт обнаружил, что при вводе номера физической платежной карты целевого объекта все равно отображались все поездки, совершенные с использованием Apple Pay.
404 Media обнаружили, что функция истории поездок MTA все еще работает, даже когда пользователь платит через Apple Pay.
Apple сообщила 404 Media, что не хранит и не имеет доступа к использованным номерам карт и не предоставляет их продавцам, включая транспортные системы.
Apple не ответила на просьбу прояснить, как работает функция веб-сайта MTA, когда пассажир использует Apple Pay.
Мнение 9to5Mac
Провал безопасности MTA здесь недопустим. Это абсолютно глупое решение разрешать запросы истории поездок без аутентификации. Как говорится в статье, это огромный провал конфиденциальности, которым легко могут воспользоваться сталкеры.
Но гораздо более серьезную обеспокоенность вызывает то, что фактические данные платежных карт каким-то образом собираются при использовании Apple Pay.
Это должно быть основным требованием безопасности и конфиденциальности Apple Pay, чтобы ни продавец, ни Apple не видели ваши реальные данные карты, а только код, который отличается для каждой транзакции. Это означает, например, что если базы данных компании взломаны и получены данные кредитных карт, то для покупок через Apple Pay будут раскрыты только одноразовые коды и номера устройств, что делает данные бесполезными.
Этот тест, если он будет воспроизведен другими, похоже, указывает на то, что существуют обстоятельства, при которых транзакции Apple Pay могут передавать фактические данные физической карты продавцу. Этого ни в коем случае не должно быть возможно, и это требует немедленного расследования со стороны Apple.
Обновление: 1 сентября
Engadget сообщает, что MTA отключила функцию поиска без аутентификации.
«Эта функция предназначалась для помощи нашим клиентам, которые хотят получить доступ к истории своих поездок с помощью tap-and-go, как платных, так и бесплатных, без необходимости создавать учетную запись OMNY», — написал в своем заявлении для Engadget представитель MTA Юджин Резник. «В рамках постоянной приверженности MTA конфиденциальности клиентов мы отключили эту функцию, пока оцениваем другие способы обслуживания этих клиентов».
Однако вопрос о том, как транзакции Apple Pay раскрывали номера физических карт, остается без ответа. Некоторые предполагают, что Express Transit является исключением из подхода с одноразовым кодом, чтобы отслеживать как вход, так и выход в системах метро с турникетами на обоих концах. Однако это не имеет смысла, поскольку для этой цели было бы достаточно номера устройства.
Мы связались с Apple для получения комментариев и обновим информацию при получении ответа.