Група дослідників з Массачусетського університету та Державного університету Пенсільванії виявила критичні уразливості у популярних цифрових гаманцях Apple Pay, Google Pay і PayPal. На конференції Usenix Security 2024 вони представили результати дослідження, яке показало, що зловмисники можуть додавати у свої цифрові гаманці номери вкрадених кредитних карток і здійснювати покупки, навіть якщо власник заблокував картку.

Згідно з дослідженням, основною проблемою є недоліки у системах автентифікації додатків для цифрових гаманців і банків США. Наприклад, зловмисник може викрасти кредитну картку, дізнатися адресу власника за допомогою онлайн-баз даних і додати картку до цифрового гаманця, використовуючи метод автентифікації, де достатньо вказати лише адресу або поштовий індекс.

Після цього хакер може продовжувати користуватися кредиткою, навіть якщо її заблоковано, оскільки банки не перевіряють, чи дійсно гаманець належить власнику картки при оновленні токена авторизації. Банки також дозволяють проводити повторювані транзакції навіть із заблокованими картками, що зловмисники можуть використати для своїх атак.

Дослідники повідомили про виявлені вразливості провідним банкам і розробникам гаманців ще у квітні 2023 року. Google підтвердив, що працює над їх усуненням, тоді як інші компанії, включаючи Apple, PayPal і Bank of America, наразі не вжили жодних заходів.

Источник: noworries.news