باحث أمني: خلل في خدمة Apple Pay و Samsung Pay و Google Pay يجعل عمليات الاحتيال سهلة
أمن المعلومات

باحث أمني: خلل في خدمات Apple Pay وSamsung Pay وGoogle Pay يُسهّل الاحتيال

بواسطة سارة طارق

عالم التكنولوجيا     ترجمة

 

كشف “تيمور يونسوف”؛ الخبير الأمني البارز في شركة Positive Technologies، عن وجود عيوب في تطبيقات عمليات الدفع بدون تلامس الأجهزة (NFC) والتي يمكن أن تؤدي إلى الاحتيال باستخدام الهواتف المحمولة المفقودة أو المسروقة.

 

يقول “يونسوف” :”على سبيل المثال لا الحصر: مفتاح هذا الاحتيال هو الراحة في دفع ثمن تذاكر مترو الأنفاق والحافلات دون فتح الهاتف. ويمكن للمستخدمين في الولايات المتحدة وبريطانيا والصين واليابان إضافة بطاقة دفع إلى الهاتف الذكي وتفعيلها كبطاقة نقل”.

 

ويوضح: “لتنفيذ الهجوم يجب أن تكون الهواتف الذكية المزودة بخدمة الدفع Samsung Pay وApple Pay مسجلة في هذه البلدان، ولكن يمكن إصدار البطاقات في أي منطقة أخرى. يمكن أيضًا استخدام الهواتف المسروقة في أي مكان، والأمر نفسه ممكن مع خدمة Google Pay”.

 

وقد اختبر “يونسوف” وغيره من باحثي التقنيات الإيجابية سلسلة من المدفوعات لمعرفة مقدار الأموال التي يمكن إنفاقها على معاملة واحدة عبر هذه الطريقة. وقالوا: “حتى أحدث طرازات iPhone سمحت لنا بإجراء مدفوعات في أي محطة PoS، حتى لو كانت بطارية الهاتف ميتة، بشرط أن يستخدم الهاتف بطاقة Visa للدفع وأن يمكّن وضع Express Transit”.

 

وتلتزم شركة Positive Technologies بمبادئ الكشف المسؤول؛ ما يعني أنه يتم الاتصال بمصنعي البرامج للحصول على معلومات حول المخاطر الأمنية قبل الإعلان عن الخلل. وإذا لم يأتِ رد من الشركة المصنعة كتابيًا في غضون 90 يومًا يحتفظ الباحثون الأمنيون بالحق في نشر النتائج دون ذكر المعلومات التي من شأنها أن تسمح للمخالفين باستغلال ثغرة أمنية مكتشفة.

 

لذلك ذكرت شركة Positive Technologies أنه تم إخطار Apple وGoogle وSamsung بالثغرات الأمنية المكتشفة في مارس ويناير وأبريل 2021 على التوالي. ووفقًا لـ Positive Technologies قالت الشركات إنها لا تخطط لإجراء أي تغييرات على أنظمتها ولكنها طلبت إذنًا لمشاركة النتائج والتقارير مع أنظمة الدفع. وقالت الشركة الأمنية أيضًا إن باحثيها اتصلوا بالمتخصصين الفنيين في Visa وMastercard لكنهم لم يتلقوا ردًا.

 

تطبيقات عمليات الدفع بدون تلامس الأجهزة (NFC)

 

ويضيف “يونسوف” :”إن الافتقار إلى مصادقة البيانات دون اتصال بالإنترنت يسمح بهذا الاستغلال، على الرغم من وجود مواصفات EMVCo تغطي هذه المعاملات. لكن المشكلة الوحيدة الآن هي أن الشركات الكبرى، مثل MasterCard وVisa وAMEX، لا تحتاج إلى اتباع هذه المعايير عندما نتحدث عن مدفوعات NFC، فقد تباعدت هذه الشركات في أوائل عام 2010، والجميع يفعل الآن ما يريده”.

 

لذلك تُعد تطبيقات عمليات الدفع بدون تلامس (NFC) مثل: Apple Pay وGoogle Pay وSamsung Pay عرضة لهذا التهديد. لكن يبدو أن هناك فرقًا إذا كان الشخص يستخدم بطاقة Visa للدفع بدلًا من Mastercard أو American Express.

 

وقد قررت شركة Mastercard أن المساعدة الإنمائية الرسمية جزء مهم من آلياتها الأمنية وستلتزم بها؛ لذلك يجب على جميع المحطات الطرفية في جميع أنحاء العالم التي تقبل بطاقات MC تنفيذ المساعدة الإنمائية الرسمية، وإذا فشلت يجب رفض معاملة NFC. بينما لا تستخدم Visa التحقق من ODA هذا في جميع محطات نقاط البيع.

 

ويتابع “يونسوف” قائلًا: “إن حل المشكلة هو النظر في السعر ورمز التاجر وحالة الهاتف لكل معاملة. وقد وصف العملية بهذه الطريقة:”إذا كانت الدفعة بقيمة 0.00 دولار وكان الهاتف مغلقًا، وكان رمز مركز عملائي هو النقل، فهذه معاملة شرعية عندما يدفع شخص ما في مترو الأنفاق. ولكن إذا كانت الدفعة 100 دولار فقد تم إلغاء قفل الهاتف (يمكنك استرداد هذه المعلومات في بيانات المعاملات)، ومركز عملائي هو محال السوبر ماركت، فهو أمر مشبوه، لأنه لا ينبغي أن يتمكن العملاء من الدفع في محال السوبر ماركت دون فتح الهاتف”.

 

في النهاية يوصي “يونسوف” المطورين بمعالجة هذه المشكلات لتحسين أمان تطبيقات عمليات الدفع بدون تلامس الأجهزة (NFC):

 

  • مشاكل مع مصادقة خدمة الدفع Apple Pay.

 

  • الارتباك في تشفير AAC / ARQC.

 

  • عدم وجود التحقق الميداني لمخططات النقل العام.

 

  • عدم وجود فحوصات سلامة الحقل MCC.

 

 

المصدر:

Security researcher: Flaw in Apple Pay, Samsung Pay and Google Pay makes fraud easy for thieves

 

اقرأ أيضًا:

بالفيديو.. كيف يمكنك إعداد خدمة الدفع الإلكتروني “Apple Pay” على أجهزة “أبل”

الرابط المختصر :
قد يعجبك ايضا المزيد عن المؤلف
اترك رد