Az Apple Payről nagyjából annyit hallunk, hogy a legbiztonságosabb és egyben legegyszerűbb fizetési mód. A biztonságnál azonban először mindenki a bejárati ajtóról beszél: milyen a zárszerkezet, hány ponton záródik az ajtó, milyen vastag az acéllemez. Ujjlenyomat, token, azonosító kulcs.
Később kerülnek csak szóba az ablakok, neadjisten a hátsó bejárat, ami tárva-nyitva.
Az Apple Paynél persze nincs szó nyitva felejtett bejáratról. Mégis, mostanában egyre több biztonsági szakértő szólal fel az Apple fizetési rendszere ellen, mert szerintük nem tartalmaz elég biztonsági réteget. Visszaélnek ugyanis adattolvajok az Apple Pay-jel, így:
A hackerek első körben megszerzik a bankkártya biztonsági kódját, illetve egy iTunes account belépési adatait (fontos tehát, hogy az egész adatlopással indul, ami eleve egy már feltört biztonsági rendszert, vagy személyiséglopást jelent). Ez eleve nehéz dolognak tűnik, de nem az: a CVV-t (kártya azonosító szám) állítólag egy dollárért, az iTunes belépési adatokat pedig 8 dollárért árulnak online Brian Krebs biztonsági szakértő szerint.
A tolvajok ezután beállítanak egy új iPhone-t a meglévő adatokkal. Regisztrálják a kártyát, belépnek az Apple ID-vel, és megadják az ujjlenyomatukat. Igen, a sajátjukat, innentől az tökéletesen elég. A bank sem nagyon cicózik a gyakorlat szerint azon, hogy beazonosítsa az új szereplőt, gyorsan átfut a processz, hogy a felhasználónak minél kényelmesebb legyen. Ezután pedig már mehet is a vásárlás az üzletben, gyorsan, kényelmesen.
Adatlopással ugye eddig is simán kilophatták a szemünket, csak míg korábban kizárólag online vásárlásokra voltak használhatóak a bankkártyaadatok, addig most az iTunes-hozzáféréssel a való életben is lehet vinni a cuccokat, azonnal.
Az Apple elvileg tett ennek megelőzéséért: amikor a felhasználó egy új kártyát érvényesít a rendszerben, az Apple becsomagol és titkosít egy csomó információt, amit aztán elküld a banknak. Ebben az iTunes forgalmat, a használt készülék információit, a készülék nevét és a pontos helyzetét is megosztja a bankkal. Innentől viszont ott a labda, hogy elfogadják vagy elutasítják a regisztrációt. A pénzintézet kérhet tovább infókat is a regisztráló személytől, de általában simán megy minden. Talán túl simán.
A megoldás lehet, hogy a bankok szigorúbbak a regisztrációnál. A másik - amibe az Apple nem megy bele -, hogy a vásárlásnál igazolják a személyazonosságukat a vásárlók.
Hogyan lehet vásárolni Apple Watch-csal? Itt írtunk róla.
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.