Apple och Google (och Visa i synnerhet) förra veckan gav oss ytterligare ett exempel på hur säkerhet och bekvämlighet ofta står i konflikt med varandra. Och det verkar som att de har gått för bekvämlighets skull.
De senaste numren är endast för en undergrupp av iPhone- och Android-användare, särskilt de som använder sina telefoner för betalningar i transit. Om man tänker på hur tunnelbanor fungerar i en storstad (jag tar New York som exempel) så kräver de extrem hastighet. Att använda ansiktsigenkänning eller ange en PIN-kod precis innan man betalar för att komma på tunnelbanan skulle sakta ner kön avsevärt.
Istället för att tillåta autentisering tidigare, säg, kanske inom fem minuter efter en transaktion, eller snabba ner processen till en bråkdel av en sekund, har Apple, Google och Visa uppenbarligen valt att avstå från någon meningsfull autentisering överhuvudtaget. (Obs: Jag fokuserar på Visa eftersom hålet fortfarande finns för det. MasterCard och andra har redan åtgärdat felet.)
Säkerhetsforskare från Positive Technologies testade telefonerna och upptäckte problemet.
"Skryphål tillåter angripare att göra obegränsade köp med stulna smartphones med expressleveranssystem aktiverade som inte kräver att enheten låses upp för att göra en betalning", säger Positive i ett uttalande. "Fram till juni 2021 kunde inköp göras på vilken PoS-terminal som helst, inte bara på kollektivtrafiken. På iPhones kan betalningar göras även om telefonens batteri är tomt. Före 2019 tillät Apple Pay och Samsung Pay endast betalningar om telefonen var upplåst med fingeravtryck, ansikts-ID eller PIN-kod. Men idag är det möjligt att använda kollektivtrafik eller Apples Express Transit-läge.
Timur Yunosov, forskare på Positive, sa i en intervju att risken fortfarande finns, men varierar beroende på kombinationen av betalkortsmärke (Visa, MasterCard, American Express, etc.) och enhetstyp.
"Om du använder ett Visa-kort i Apple Pay kan vem som helst ta din telefon, även gratis, gå till en snygg butik och köpa något med din telefon. Före juni 2021 kunde samma sak ha hänt med Samsung Pay/MasterCard-paret”, sa Yunosov, som talade på Black Hat Europe förra veckan. "Men vid ett tillfälle löste de problemet i tysthet. Google Pay är den mest utsatta. Om NFC är aktiverat kan någon till och med klona ditt MasterCard på kort tid och använda det senare för att köpa varor. Även efter alla ändringar som gjorts av MasterCard finns det fortfarande risk för bedrägerier mot förlorade mobila plånböcker (Apple, Samsung, Visa, MasterCard, AMEX), även om detta kräver speciell utrustning, såsom ett modifierat försäljningsställe eller direkt tillgång till transaktionsflöde. "
Eftersom det rör sig om stulna enheter väcker detta en svår IT-fråga. För många företag är standard IT-protokollet när en enhet märks som "troligen stulen" att fjärrensa den, vilket teoretiskt sett eliminerar alla ytterligare risker. Men det kanske inte fungerar om telefonen inte är ansluten till internet, är avstängd eller har ett urladdat batteri.
”Om telefonen inte är laddad är det fortfarande möjligt att använda den för att identifiera sig. Därför kommer informationen inte att raderas från enheten. Det beror också på om raderingsmekanismerna inkluderar radering av register från säkerhetssystem (till exempel en databas med anställdas ägda enheter), det skulle vara säkert”, sa Yunosov. "Annars kan du utsätta hela systemet för fara. Tills vi ser dessa system implementeras i stora företag är allt detta bara spekulationer. "
Det finns goda nyheter, om än tillfälligt, i teorin. Andra känsliga uppgifter på telefonen bör inte vara i fara. Och om så är fallet bör en fjärrspolning lösa problemet, förutsatt att en korrekt fjärrrensningsanslutning kan göras.
Men, som Yunosov noterade, kan denna defekt bli värre. Apple förbereder en serie nya "mervärdestjänster", till exempel sättet att komma åt säkra byggnader. För snabbhet och bekvämlighet kan du också använda samma process för transitbetalningar. Detta ökar universum av potentiella offer.
En annan viktig fråga: Vad händer om en tjuv gör bedrägliga köp med telefonen? Att bevisa att avgifter är bedrägliga kan vara knepigt. "Det skulle vara extremt svårt att bevisa för din utfärdande bank att du inte har betalat för dessa saker och att telefonen inte har låsts upp med ditt fingeravtryck eller din PIN-kod", sa Yunosov.
Vissa offer kan ha tur om en säkerhetskamera fångar personen som gör köpet eller om offret kan bevisa att de var någon annanstans vid tiden för rånet.
Det ser ut som att Apple kan dra nytta av Apple Watch här. Vad händer om din Apple Watch ständigt tittar på hur långt du är från iPhone? Vad händer om klockan på ett förutbestämt avstånd tillät användaren att stänga av telefonen, tillfälligt eller permanent? Det är viktigt att ge användaren möjlighet att tillfälligt inaktivera; Det är här skillnaden mellan en borttappad telefon och en stulen telefon kommer in.
Klockan kan också berätta för användaren exakt var telefonen ser ut att vara, eller åtminstone var den var när den senast upptäcktes. Denna information skulle hjälpa användaren att avgöra om telefonen helt enkelt försvann eller om den sannolikt var stulen.
Åtminstone måste Apple, Google och finansiella institutioner komma ihåg att bekvämlighet inte bör ske på bekostnad av säkerheten. För att sakta ner tunnelbanelinjen kan vara irriterande, men att hantera bedrägerier och stölder är värre.
Upphovsrätt © 2021 IDG Communications, Inc.