Содержание
Безопасность компонентов Apple Pay — Служба поддержки Apple (RU)
В Apple Pay используется несколько аппаратных и программных функций, предназначенных для безопасного и надежного совершения покупок.
Secure Element
Чип Secure Element представляет собой стандартную сертифицированную микросхему, работающую на платформе Java Card и совместимую с требованиями финансовой отрасли к электронным платежам. Чип Secure Element и платформа Java Card сертифицированы по стандарту оценки безопасности EMVCo. После успешного прохождения оценки безопасности EMVCo выдает уникальный сертификат интегральной микросхемы и платформы.
Чип Secure Element был сертифицирован на основе стандартов оценки по общим критериям. Дополнительная информация приведена в статье Сертификация безопасности для процессора Secure Enclave в Центре сертификации безопасности и соответствия требованиям.
Контроллер NFC
Контроллер NFC обрабатывает протоколы ближней бесконтактной связи и маршрутизирует данные, передаваемые между процессором приложений и чипом Secure Element, а также между Secure Element и терминалом, установленным в точке продажи.
Apple Wallet
Приложение Apple Wallet — удобный способ добавлять кредитные, дебетовые и магазинные карты, управлять ими и совершать платежи через Apple Pay. В Apple Wallet пользователи могут просматривать свои карты и дополнительную информацию, предоставленную эмитентом, например, о действующих политиках конфиденциальности, недавних транзакциях и многом другом. Кроме того, пользователи могут добавлять карты в Apple Pay через следующие приложения:
Ассистент настройки и Настройки в iOS и iPadOS;
приложение «Часы» на Apple Watch;
раздел «Wallet & Apple Pay» в Системных настройках на Mac с Touch ID.
Кроме того, с Apple Wallet пользователи также могут добавлять транспортные карты, скидочные карты, посадочные талоны, билеты, подарочные карты, студенческие билеты, карты доступа и другие карты и управлять ими.
Secure Enclave
На iPhone, iPad, Apple Watch, а также компьютерах Mac с Touch ID и компьютерах Mac с чипом Apple и клавиатурой Magic Keyboard с Touch ID Secure Enclave управляет процессом аутентификации и позволяет продолжить выполнение платежа.
В случае с Apple Watch устройство должно быть разблокировано, а пользователь должен дважды нажать боковую кнопку. Информация об обнаружении двойного нажатия передается напрямую в чип Secure Element или Secure Enclave (при его наличии), не проходя через процессор приложений.
Серверы Apple Pay
Серверы Apple Pay управляют настройкой и добавлением кредитных, дебетовых, транспортных карт, студенческих билетов и карт доступа в Apple Wallet. Серверы также управляют учетными номерами устройств, которые хранятся в Secure Element. Эти серверы взаимодействуют как с устройством, так и с серверами платежной сети или эмитента карты. Кроме того, серверы Apple Pay отвечают за повторное шифрование платежных учетных данных при оплате в приложениях или в Интернете.
Дата публикации: 13 мая 2022 г.
См. такжеБесконтактные карты в Apple PayОбзор безопасности подготовки карт
Уязвимость Apple Pay допускает оплату с карт Visa с заблокированного смартфона / Хабр
Исследователи безопасности нашли способ совершать мошеннические платежи с помощью Apple Pay с заблокированного iPhone с привязанной картой Visa в цифровом кошельке с включенным экспресс-режимом.
GSMArena
Метод работает, даже если iPhone находится в сумке или в чьем-то кармане, и на нем нет лимита транзакций.
Изучая ретрансляционные атаки на бесконтактные платежи, исследователи из Университета Бирмингема и Университета Суррея в Великобритании обнаружили, что устройства iPhone подтверждают транзакции при определенных условиях.
Чтобы платеж прошел, пользователям iPhone необходимо авторизовать его, разблокировав телефон с помощью Face ID, Touch ID или пароля. Однако в некоторых случаях, например при оплате проезда в общественном транспорте, разблокировка устройства делает процесс оплаты обременительным для пользователя. Apple Pay решила эту проблему с помощью Express Transit, функции, которая позволяет проводить транзакции без разблокировки устройства. Express Transit работает для определенных служб, таких как турникеты, со считывателями карт, которые отправляют нестандартную последовательность байтов.
В случае с картой Visa «эту функцию можно использовать для обхода экрана блокировки Apple Pay и незаконной транзакции с заблокированного iPhone с помощью карты Visa любому устройству чтения EMV на любую сумму без авторизации пользователя».
Исследователи смогли сымитировать транзакцию, используя устройство Proxmark, выступающее в качестве кардридера, который взаимодействует с целевым iPhone и телефоном Android с чипом NFC. Данная атака представляет собой атаку воспроизведения и ретрансляции «злоумышленник посередине», когда Proxmark отправляет байты на iPhone, чтобы убедить систему в отсутствии необходимости аутентификации: «Атака работает, сначала воспроизводя Magic Bytes на iPhone, так что он считает, что транзакция происходит с транспортным считывателем EMV. При ретрансляции сообщений EMV квалификаторы терминальных транзакций (TTQ), отправляемые терминалом EMV, должны быть изменены таким образом, чтобы были установлены биты (флаги) для автономной аутентификации данных (ODA) для поддерживаемых онлайн-авторизаций и поддерживаемого режима EMV».
Углубившись в проблему, исследователи обнаружили, что они могут изменить квалификаторы карточных транзакций (CTQ), отвечающие за установку лимитов бесконтактных транзакций.
Эта модификация предназначена для того, чтобы обмануть кардридер. В ходе эксперимента исследователи смогли совершить транзакцию на сумму 1000 фунтов стерлингов с заблокированного iPhone. Они протестировали атаку на iPhone 7 и iPhone 12. Тесты прошли успешно только с картами iPhone и Visa.
В случае с Mastercard выполняется проверка, чтобы убедиться, что заблокированный iPhone принимает транзакции только от считывателей карт с кодом транзитного продавца.
Опробовав метод с Samsung Pay, исследователи обнаружили, что транзакции возможны с заблокированными устройствами. Однако поставщики транспортных услуг взимают плату за билеты на основе данных, связанных с этими транзакциями.
Результаты исследования были отправлены в Apple и Visa в октябре 2020 года и мае 2021 года соответственно, но проблему не устранили.
Ранее специалист в области кибербезопасности Бобби Раух обнаружил уязвимость в работе метки Apple AirTag, позволяющую похищать данные пользователей с iCloud путем межсайтового скриптинга.
Суть эксплойта состоит в том, что во время перевода AirTag в режим потери злоумышленник может перехватить запрос и подменить данные в поле ввода контактного номера телефона на скрипт, который перенаправляет жертву на фишинговый сайт.
Кроме того, Apple все еще рассматривает три уязвимости нулевого дня в iOS (14.7, 14.8 и 15.0), подробную информацию о которых опубликовал пользователь Хабра Денис Токарев после того, как компания не реагировала на его находки более полугода. Apple также ничего не выплатила Токареву за его работу по программе вознаграждений Apple Security Bounty.
Обзор безопасности и конфиденциальности Apple Pay — Служба поддержки Apple (Великобритания)
Узнайте, как Apple защищает вашу личную информацию, данные транзакций и платежную информацию при использовании Apple Pay.
Apple Pay позволяет совершать простые, безопасные и конфиденциальные транзакции в магазинах, приложениях и Интернете. Вы также можете отправлять деньги друзьям и родственникам и получать их от них с помощью Apple Pay в сообщениях (только для США).
А с помощью бесконтактных бонусных карт в Wallet вы можете получать и использовать вознаграждения при оплате через Apple Pay. Apple Pay разработан с учетом вашей безопасности и конфиденциальности, что делает его более простым и безопасным способом оплаты, чем использование физических кредитных, дебетовых и предоплаченных карт.
Apple Pay использует функции безопасности, встроенные в аппаратное и программное обеспечение вашего устройства, чтобы защитить ваши транзакции. Кроме того, для использования Apple Pay на вашем устройстве должен быть установлен пароль и, при желании, Face ID или Touch ID. Вы можете использовать простой пароль или установить более сложный пароль для еще большей безопасности.
Apple Pay также предназначен для защиты вашей личной информации. Apple не хранит и не имеет доступа к исходным номерам кредитных, дебетовых или предоплаченных карт, которые вы используете в Apple Pay. И когда вы используете Apple Pay с кредитными, дебетовыми или предоплаченными картами, Apple не сохраняет никакой информации о транзакциях, которая может быть связана с вами — ваши транзакции остаются между вами, продавцом или разработчиком, и вашим банком или эмитентом карты.
При добавлении кредитных, дебетовых, предоплаченных или проездных карт
При добавлении кредитной, дебетовой, предоплаченной или проездной карты (если доступно) в Apple Pay информация, которую вы вводите на своем устройстве, шифруется и отправляется на серверы Apple. Если вы используете камеру для ввода информации о карте, эта информация никогда не сохраняется на вашем устройстве или в фотобиблиотеке.
Apple расшифровывает данные, определяет платежную сеть вашей карты и повторно шифрует данные с помощью ключа, который может разблокировать только ваша платежная сеть (или любые поставщики, уполномоченные эмитентом вашей карты для предоставления услуг и услуг токенов).
Информация, которую вы предоставляете о своей карте, о том, включены ли определенные настройки устройства и модели использования устройства, например, процент времени, в течение которого устройство находится в движении, и приблизительное количество звонков, которые вы совершаете в неделю, может быть отправлена в Apple на определите свое право на использование Apple Pay.
Информация также может быть предоставлена Apple эмитенту вашей карты, платежной сети или любым поставщикам, уполномоченным эмитентом вашей карты, для включения Apple Pay, определения соответствия вашей карты требованиям, настройки вашей карты для Apple Pay и предотвращения мошенничества.
После того, как ваша карта будет одобрена, ваш банк, уполномоченный поставщик услуг вашего банка или эмитент вашей карты создает номер учетной записи устройства для конкретного устройства, шифрует его и отправляет вместе с другими данными (например, ключом, используемым для генерации динамических кодов безопасности). которые уникальны для каждой транзакции) в Apple. Apple не может расшифровать номер учетной записи устройства, но он хранится в Secure Element — стандартном сертифицированном чипе, предназначенном для безопасного хранения платежной информации — на вашем устройстве. В отличие от обычных номеров кредитных или дебетовых карт, эмитент карты может запретить их использование на карте с магнитной полосой, по телефону или на веб-сайтах.
Номер учетной записи устройства в Secure Element изолирован от iOS, watchOS и macOS, никогда не сохраняется на серверах Apple и никогда не копируется в iCloud.
Apple не хранит и не имеет доступа к исходным номерам кредитных, дебетовых или предоплаченных карт, которые вы добавляете в Apple Pay. Apple Pay хранит только часть ваших фактических номеров карт и часть номеров ваших учетных записей устройств вместе с описанием карты. Ваши карты связаны с вашим Apple ID, чтобы вы могли добавлять свои карты и управлять ими на своих устройствах.
Кроме того, iCloud защищает данные вашего кошелька, такие как пропуски и информацию о транзакциях, зашифровывая их при отправке через Интернет и сохраняя в зашифрованном формате, когда они хранятся на серверах Apple. Вы можете отключить поддержку iCloud на своем устройстве, выбрав «Настройки» > [ваше имя] > iCloud и отключив Wallet. Узнайте больше о том, как iCloud хранит и защищает ваши данные.
При использовании Apple Pay в магазинах
При использовании Apple Pay в магазинах, принимающих бесконтактные платежи, Apple Pay использует технологию Near Field Communication (NFC) между вашим устройством и платежным терминалом.
NFC — это стандартная бесконтактная технология, предназначенная для работы только на коротких расстояниях. Если ваш iPhone включен и обнаруживает поле NFC, он предоставит вам карту по умолчанию. Чтобы отправить платежную информацию, вы должны пройти аутентификацию с помощью Face ID, Touch ID или кода доступа (за исключением Японии, если вы назначаете карту Suica для экспресс-путешествий). При использовании Face ID или Apple Watch необходимо дважды щелкнуть боковую кнопку, когда устройство разблокировано, чтобы активировать карту по умолчанию для оплаты.
После того, как вы аутентифицировали свою транзакцию, Secure Element передает ваш номер учетной записи устройства и динамический код безопасности для конкретной транзакции на терминал торговой точки магазина, а также дополнительную информацию, необходимую для завершения транзакции. Опять же, ни Apple, ни ваше устройство не отправляют фактический номер вашей платежной карты. Прежде чем подтвердить платеж, ваш банк, эмитент карты или платежная сеть могут проверить вашу платежную информацию, проверив динамический код безопасности, чтобы убедиться, что он уникален и привязан к вашему устройству.
Когда вы используете Apple Pay в приложениях или в Интернете
Когда вы используете приложение или веб-сайт, которые используют Apple Pay в iOS, watchOS или macOS, приложение или веб-сайт может проверить, включен ли Apple Pay на вашем устройстве. Вы можете управлять этим параметром в меню «Настройки» > «Safari» на устройстве iOS и на вкладке «Конфиденциальность» в настройках Safari на вашем Mac.
Для безопасной передачи вашей платежной информации, когда вы платите в приложениях или в Интернете, Apple Pay получает вашу зашифрованную транзакцию и повторно шифрует ее с помощью специального ключа разработчика, прежде чем информация о транзакции будет отправлена разработчику или обработчику платежей. Этот ключ помогает гарантировать, что только приложение или веб-сайт, на котором вы покупаете, могут получить доступ к вашей зашифрованной платежной информации. Веб-сайты должны подтверждать свой домен каждый раз, когда они предлагают Apple Pay в качестве способа оплаты.
Как и в случае платежей в магазине, Apple отправляет номер учетной записи вашего устройства в приложение или на веб-сайт вместе с динамическим кодом безопасности для конкретной транзакции. Ни Apple, ни ваше устройство не отправляют приложению фактический номер вашей платежной карты.
Apple сохраняет анонимную информацию о транзакции, включая приблизительную сумму покупки, имя разработчика и приложение, приблизительную дату и время, а также успешность завершения транзакции. Apple использует эти данные для улучшения Apple Pay и других продуктов и услуг. Apple также требует, чтобы приложения и веб-сайты в Safari, использующие Apple Pay, имели доступную для просмотра политику конфиденциальности, которая регулирует использование ими ваших данных.
Когда вы используете Apple Pay на своем iPhone или Apple Watch для подтверждения покупки на вашем Mac в Safari, ваш Mac и авторизующее устройство обмениваются данными по зашифрованному каналу через серверы Apple. Apple не хранит эту информацию в форме, позволяющей установить вашу личность.
Вы можете отключить возможность использования Apple Pay на вашем Mac в настройках на вашем iPhone. Перейдите в Wallet и Apple Pay и отключите параметр «Разрешить платежи на Mac».
Когда вы добавляете и используете бонусные карты с транзакциями Apple Pay в магазинах
Когда вы добавляете бесконтактные бонусные карты в Wallet, вся информация сохраняется на вашем устройстве и шифруется с помощью вашего кода доступа. Вы можете выбрать автоматическое предоставление бонусной карты для использования в магазинах продавца при совершении покупки через Apple Pay (или вы можете отключить эту настройку в Wallet). Apple требует, чтобы вся информация, отправляемая на платежный терминал, была зашифрована. Информация о бонусной карте отправляется только после вашего разрешения. И Apple не получает никакой информации о транзакции вознаграждения, кроме той, которая отображается на пропуске. iCloud создает резервные копии ваших карт и обновляет ваши бонусные карты на нескольких устройствах.
Если вы подпишетесь на бонусную карту и предоставите информацию продавцу, такую как ваше имя, почтовый индекс, адрес электронной почты и номер телефона, Apple получит уведомление о регистрации, но информация, которой вы поделитесь, будет отправлена напрямую с вашего устройства продавцу и обрабатывается в соответствии с политикой конфиденциальности продавца.
Если вы потеряли свое устройство и вам нужно приостановить или удалить карты из Apple Pay
Если вы включили функцию «Найти iPhone» на своем устройстве, вы можете приостановить Apple Pay, переведя свое устройство в режим пропажи вместо немедленной отмены ваших карт . Если вы найдете свое устройство, вы можете снова включить Apple Pay.
Вы можете перейти на страницу своей учетной записи Apple ID, чтобы удалить возможность совершать платежи с помощью кредитных, дебетовых и предоплаченных карт, которые вы использовали для Apple Pay на устройстве.
Удаленное удаление устройства с помощью функции «Найти iPhone» также лишает вас возможности расплачиваться картами, которые вы использовали для Apple Pay.
Ваши кредитные, дебетовые и предоплаченные карты будут заблокированы в Apple Pay вашим банком, уполномоченным поставщиком услуг вашего банка, эмитентом вашей карты или уполномоченным поставщиком услуг вашего эмитента, даже если ваше устройство находится в автономном режиме и не подключено к мобильной сети или сети Wi-Fi. . Если вы найдете свое устройство, вы можете снова добавить карты с помощью Wallet.
Кроме того, вы можете позвонить в свой банк или эмитента, чтобы приостановить использование вашей кредитной, дебетовой или предоплаченной карты в Apple Pay. Карты Suica нельзя заблокировать, если ваше устройство находится в автономном режиме (дополнительная информация ниже). Возможность использовать бонусные карты, хранящиеся на вашем устройстве, удаляется только в том случае, если ваше устройство находится в сети.
Когда вы отправляете и получаете деньги с помощью Apple Pay или используете Apple Pay Cash (только для США)
Apple Pay позволяет отправлять и получать деньги с другими людьми в Сообщениях.
Когда вы получаете деньги, они добавляются на вашу карту Apple Pay Cash, которую можно использовать для совершения покупок с помощью Apple Pay в магазинах, приложениях и в Интернете. Платежи между физическими лицами и карта Apple Pay Cash — это услуги, предоставляемые банком-партнером Apple, Green Dot Bank, членом FDIC. Вы можете узнать, как Green Dot Bank защищает вашу информацию, ознакомившись с их политикой конфиденциальности на странице applepaycash.greendot.com/privacy/.
При настройке Apple Pay Cash та же информация, что и при добавлении кредитной или дебетовой карты, может быть передана в Green Dot Bank и Apple Payments Inc. Apple создала Apple Payments Inc., дочернюю компанию, находящуюся в полной собственности, для защиты ваших конфиденциальность за счет хранения и обработки информации о ваших транзакциях Apple Pay Cash отдельно от остальной части Apple, таким образом, что остальная часть Apple не знает. Эта информация используется только для устранения неполадок, в нормативных целях и для предотвращения мошенничества с Apple Pay Cash.
Для подтверждения вашей личности вас могут попросить предоставить информацию, включая ваше имя и адрес, банку и их поставщику услуг по проверке личности. Эта информация используется только для предотвращения мошенничества и соблюдения финансового законодательства США. Ваше имя и адрес надежно хранятся банком-партнером и Apple Payments Inc., но любая дополнительная информация, которую вас просят предоставить, например номер вашей национальной страховки, дата рождения, ответы на вопросы (например, подтверждение имени улица, на которой вы раньше жили) или копию вашего удостоверения личности, выданного государством, — Apple не может их прочесть.
Когда вы используете Apple Pay Cash, в том числе когда вы добавляете деньги или переводите деньги на банковский счет, наш партнерский банк, Apple и Apple Payments Inc., может использовать и хранить информацию о вас, вашем устройстве и вашей учетной записи для обработки транзакции, для устранения неполадок, предотвращения мошенничества и соблюдения финансового законодательства.
Apple может предоставить Apple Payments Inc. примерные схемы использования вашего устройства о том, как часто вы общаетесь с этим человеком по телефону, электронной почте или в Сообщениях. Содержание вашего сообщения не собирается. Эта информация хранится в течение ограниченного времени и таким образом, что она не связана с вами, за исключением случаев, когда определено, что связанная транзакция требует дальнейшего анализа из-за подозрительной активности. Вы можете просмотреть транзакции, требующие дальнейшего анализа, в списке транзакций по карте Apple Pay Cash.
Дополнительная информация об использовании Apple Pay с проездной картой
Если вы назначите проездную карту, добавленную в Apple Pay, в качестве карты Express Travel, вы сможете оплачивать поездки и путешествовать без использования Face ID, Touch ID или сначала пароль. Вы можете управлять экспресс-путешествием на своем iPhone в меню «Настройки» > «Wallet и Apple Pay», а также на Apple Watch через приложение Apple Watch.
Вы можете временно приостановить действие проездных с помощью функции «Найти iPhone», чтобы перевести устройство в режим пропажи. Вы также можете удалить проездные карты, удаленно удалив свое устройство с помощью функции «Найти iPhone» или удалив все карты со страницы своей учетной записи Apple ID. Проездные карты нельзя удалить или приостановить, если ваше устройство находится в автономном режиме.
Подробнее
Вы можете увидеть более подробную информацию об Apple Pay и конфиденциальности прямо на своем устройстве. Перейдите в раздел «Wallet и Apple Pay» в настройках на устройстве iOS и нажмите «Просмотреть, как управляются ваши данные». На Mac откройте Wallet и Apple Pay в Системных настройках и нажмите Apple Pay и конфиденциальность.
Вы можете узнать больше о том, как Apple защищает ваши данные и личную информацию, изучив Руководство по безопасности iOS и Политику конфиденциальности Apple.
Дата публикации:
Безопасна ли Apple Pay?
По
Сиара Ларкин
Полная биография
Сиара Ларкин — эксперт в области бизнеса и личных финансов. Она имеет 5+ лет опыта работы в редакционной сфере и 2+ года в юриспруденции.
Узнайте о нашем
редакционная политика
Обновлено 06 августа 2022 г.
Рассмотрено
Хадиджа Хартит
Рассмотрено
Хадиджа Хартит
Полная биография
Хадиджа Хартит — эксперт по стратегии, инвестициям и финансированию, а также преподаватель финансовых технологий и стратегических финансов в ведущих университетах. Она была инвестором, предпринимателем и консультантом более 25 лет. Она является держателем лицензий FINRA Series 7, 63 и 66.
Узнайте о нашем
Совет финансового контроля
Факт проверен
Тимоти Ли
Факт проверен
Тимоти Ли
Полная биография
Тимоти Ли — консультант, бухгалтер и финансовый менеджер со степенью магистра делового администрирования Университета Южной Калифорнии и более чем 15-летним опытом работы в сфере корпоративных финансов.
Тимоти помог предоставить генеральным и финансовым директорам глубокую аналитику, рассказав красивые истории о цифрах, графиках и финансовых моделях.
Узнайте о нашем
редакционная политика
Apple Pay — это мобильная платежная система, которая используется примерно 45,4 миллионами пользователей в США. В статье Oberlo прогнозируется, что в 2026 году это число вырастет примерно до 56,7 миллиона человек.
Ключевой вывод
- Apple Pay, безусловно, безопаснее наличных и имеет больше функций безопасности, чем кредитные карты.
- Некоторые функции безопасности, такие как двухфакторная идентификация, являются необязательными.
- Сложный код доступа по-прежнему является хорошей идеей.
Что касается того, безопасно это или нет, Apple Pay, безусловно, безопаснее в использовании, чем наличные. И он должен быть безопаснее в использовании, чем пластик, если владелец учетной записи включает все его функции безопасности.
Функции безопасности Apple Pay
Apple Pay можно использовать для совершения транзакции у любого продавца, интернет-магазина или приложения, которое его принимает.
Кроме того, он позволяет пользователям отправлять и получать деньги от других пользователей с помощью обмена сообщениями.
Каждая транзакция включает в себя ряд мер безопасности:
- Он использует связь ближнего поля (NFC), основанную на чипе технологию, которая взаимодействует со считывателем карт без необходимости контакта с ним. Карта остается в кошельке.
- Для завершения транзакций пользователь может использовать двухфакторную идентификацию, включая идентификацию по отпечатку пальца или лицу, а также пароль. Использование кончика пальца или идентификации лица не является обязательным.
- Apple советует своим клиентам выбирать сложный пароль. Это не может помешать вам использовать имя вашей кошки в качестве пароля, поэтому этот совет по безопасности, как и двухфакторная идентификация, является добровольным.
- Продавец никогда не получает исходный номер вашей карты. (У Apple тоже нет к нему доступа.)
- Для обработки транзакций используется метод токенизации.
То есть уникальный зашифрованный код создается для одноразового использования. Этот код, а не номер вашего счета, передается для авторизации транзакции. - Если пользователь когда-либо подозревает, что учетная запись стала небезопасной, Apple Pay можно отключить через систему iCloud.
То есть уникальный зашифрованный код создается для одноразового использования. Этот код, а не номер вашего счета, передается для авторизации транзакции.Apple обещает никогда не передавать информацию о картах через свое облако. Хотя это означает, что пользователи должны вручную вводить данные своей карты на каждое устройство, это повышает безопасность услуги.
Что может пойти не так?
Излишне говорить, что Apple Pay и ее конкуренты сталкиваются с постоянными атаками со стороны хакеров, стремящихся взломать стены системы безопасности. Пока что эти попытки, похоже, выявили уязвимости, созданные пользователями, но не Apple.
В одном отчете указывается, что точки доступа Wi-Fi могут использоваться для перехвата и повторного использования зашифрованных данных транзакций.
В одном неподтвержденном отчете утверждается, что Apply Pay может упростить использование украденных личных данных.
То есть преступник мог просто загрузить украденную информацию, в том числе номера кредитных карт, в iPhone и отправиться за покупками. (На самом деле это будет ответственность банка, выпустившего украденную карту, а не Apple.)
Атака белой шляпы
В другом неподтвержденном отчете утверждается, что хакеры «белой шляпы» смогли заразить устройство вредоносным ПО, а затем перехватить платежные данные, введенные пользователем iPhone и отправленные на сервер Apple. Это можно было сделать только на «взломанном» iPhone, то есть на iPhone с измененным программным обеспечением.
Еще в одном отчете утверждается, что пользователи точек доступа Wi-Fi уязвимы для хакеров, которые могут перехватить и повторно использовать криптограмму, которая используется для обеспечения транзакции Apple Pay. Да, предполагается, что криптограмму можно использовать только один раз, но, по-видимому, некоторые продавцы позволяют использовать ее более одного раза. Еще один пример ошибки, связанной с несовершенным использованием системы Apple Pay.