Obvykle není moudré vzdávat se kontroly nad svým telefonem, a to zejména v momentě, kdy váš iPhone do ruky dostane Timur Yunosov, ruský výzkumník v oblasti kybernetické bezpečnosti, jehož zálibou je objevování a prolamování slabin aplikací umožňujících bezkontaktní placení.
Jen několik málo minut mu stačí k tomu, aby dokázal vysát peníze z mého už tak prázdného bankovního konta. Pouhým přiložením uzamčeného zařízení na terminál dokázal můj bankovní účet přečerpat až na kontokorent.
Naštěstí je Yunosov „laskavý“ hacker, pracující pro moskevskou společnost Positive Technologies, která se ovšem v současné době potýká s dopadem amerických sankcí kvůli údajné pomoci kremelským bezpečnostním agenturám.
Yunosov veškeré moje peníze poslal zpět ihned poté, co opětovně potvrdil již dlouho veřejně známou a stále nevyřešenou slabinu v Apple Pay – funkci tap-and-pay (v překladu poklepej a zaplať). Ta umožňuje platit například v londýnském metru nebo newyorské hromadné dopravě pouhým rychlým kliknutím, aniž by bylo nutné telefon odemknout.
Výzkumníci z univerzit v Birminghamu a Surrey provedli stejný útok jako nyní Yunosov už v září 2021. Našli způsob, jak obejít bezpečnostní nastavení telefonu, kdy přiměli telefon uvěřit, že autorizuje platbu vlakovému turniketu, i když ve skutečnosti platba probíhala na libovolném terminálu v obchodě. Platbu dokázali autorizovat i na terminálu ovládaném hackery, kdy peníze odcházely přímo na účet útočníka.
Yunosov však nechtěl ukázat jen to, co lze provést se zařízením od Applu, zaměřil se i na telefony od společnosti Samsung. Ukradený telefon Samsung si sice musel vzít domů, i tak byl pomocí aplikace tap-and-go schopen odčerpat finanční rezervy z účtu, aniž by musel telefon odemknout.
Není to rozhodně to samé jako v případě Applu, kdy se hackerský útok může podařit i během pouhých pár minut v obchodě díky instalovanému zařízení, které umožní platbu prostřednictvím uzamčeného telefonu. Stále je to však hrozba pro někoho, kdo telefon ztratí a ten se dostane do rukou technicky zdatnému podvodníkovi.
Je to ale přece jen menší zlepšení. Až do června 2021 bylo totiž úplně stejnou metodu jako na prolomení Apple Pay možné použít i na Samsung Pay propojený s kartou MasterCard. „V nedávné době to ale potichu opravili, aniž by mě o tom informovali,“ říká Yunosov.
Fakt, že funkce tap-and-pay funguje, i když telefonu dojde baterie a vypne se, pomáhá stejně tak cestovatelům, pro které je určena, tak hackerům. „Pokud použijete kartu Visa s Apple Pay, každý může vzít váš telefon, i vybitý, navštívit luxusní obchod a koupit si za vaše peníze, cokoli ho napadne,“ vysvětluje mi Yunosov.
A tady už nejsou žádné limity v množství převedených peněz. V naší ukázce to bylo pouhých pár liber, v reálném světě se ovšem ukradené částky mohou vyšplhat až na tisíce liber.
Pravda ale je, že tyto hackerské útoky mají v běžném životě několik zjevných omezení. Mohou probíhat pouze v případě, že má útočník fyzický přístup k telefonu. A vzhledem k tomu, že MasterCard a Google podnikly určité společné kroky ke zvýšení bezpečnosti, útoky lze nyní provést pouze tehdy, pokud je jako primární karta pro mobilní platby nastavena karta Visa, říká Yunosov.
Není se čeho bát. Nebo ano?
Vyjádření společnosti Samsung se bohužel až do zveřejnění článku nepodařilo získat. Ostatní společnosti Apple, Visa a MasterCard se kolektivně shodly na tom, že nevěří, že by byla ve skutečném světě nějaká zvýšená hrozba podobných útoků.
Mluvčí společnosti Apple říká: „Toto je znepokojivé především v souvislosti s kartami Visa. Společnost Visa ale nevěří, že by se tento druh podvodného jednání mohl ve skutečném světě stát, i díky dalším mnohonásobným bezpečnostním opatřením. V nepravděpodobném případě, že by se nějaká neautorizovaná platba opravdu objevila, Visa jasně deklarovala, že držitelé jejích karet jsou chráněni díky její politice nulové odpovědnosti.“
Mluvčí společnosti Visa k tomu dodává: „Karty Visa propojené s mobilní peněženkou a povolenými transitními platbami jsou bezpečné a držitelé karet je mohou dále používat bez obav. Nejrůznější způsoby podvodů zaměřených na bezkontaktní platby jsou už více než desetiletí prověřovány v laboratorních podmínkách a bylo u nich prokázáno, že jsou z praktického hlediska velmi obtížně použitelné v běžném životě.“
Pro karty i zařízení se podle něj používá mnoho dodatečných bezpečnostních prvků a i on zmínil politiku nulové odpovědnosti. „Visa bere veškeré bezpečnostní hrozby velmi vážně a stále pracuje na vývoji nových bezpečnostních prvků, aby ochránila transakce i proti těm nejnovějším hrozbám skutečného světa,“ dodal.
Podle mluvčího společnosti MasterCard pak mohou být držitelé karet bez obav, protože platby s kartou MasterCard jsou aktuálně z tohoto ohledu bezpečné.
„Tento konkrétní scénář nám byl předložen prostřednictvím našeho programu zaměřeného na odhalování hrozeb. A i přestože bylo podle našich expertů jeho využití mimo laboratorní prostředí extrémně omezené, rozhodli jsme se tuto potenciální hrozbu řešit.“
Yunosov nicméně věří, že hrozba i přes veškerá ujištění karetních společností stále existuje. Každému, koho toto nebezpečí jakkoli znepokojuje, doporučuje jednoduché řešení: ve svém zařízení si možnost tranzitních plateb ze zamčeného zařízení vypněte.