Serwis Apple Pay nie tak bezpieczny, jak go reklamowano

Reklamowana jako bezpieczna usługa Apple Pay, pozwalająca na dokonywanie płatności za pomocą urządzeń mobilnych, posiada poważne luki w zabezpieczeniach.

Publikacja: 24.03.2015 16:15

Tim Cook prezentuje system Apple Pay

Foto: Bloomberg

Tomasz Deptuła

Media w USA donoszą o bardzo dużej liczbie transakcji Apple Pay z użyciem skradzionych numerów kart kredytowych.

Uruchomiony w październiku serwis płatniczy Apple pozwala na zbliżeniowe sfinalizowanie transakcji zakupu. Konto Apple powiązane jest z numerem konkretnej karty kredytowej. System jest już akceptowany w setkach tysięcy amerykańskich sklepów. Dwa największe banki wydające karty kredytowe – Bank of America oraz JPMorgan Chase odnotowały zarejestrowanie w Apple Pay ponad 2 milionów kont. Jak jednak szacuje analityk rynku urządzeń mobilnych Cherian Abraham liczba zakupów dokonanych przez Apple Pay na podstawie ukradzionych numerów kart kredytowych może sięgać nawet 6 procent wszystkich transakcji. To 60-krotnie więcej niż w przypadku "konwencjonalnych" oszustw, wymagających zeskanowania paska magnetycznego lub chipu ukradzionej karty. System Apple wychwytuje co prawda "ryzykowne" konta i je zamyka, ale dzieje się to często już po kilku dokonanych transakcjach.

Według ekspertów cyberprzestępcy dosyć szybko zorientowali się w słabościach systemu. Podczas rejestracji w Apple Pay konsument musi podać numer karty kredytowej, datę ważności oraz kod zabezpieczający. Te numery jednak są dostępne na czarnym rynku i mogą być kupione od cyberzłodzieji za stosunkowo małe pieniądze – ostrzega Brian Krebs, który prowadzi blok antyhakerski.

Tymczasem serwis Apple Pay weryfikuje ważność karty, jednak nie sprawdza samego konsumenta. Błąd więc leży nie w zabezpieczeniu samego systemu, ale w procedurze otwierania kont Apple Pay. Eksperci zalecają więc aby osoby zapisujące się do serwisu musiały potwierdzać w sposób bardziej przekonujący swoją tożsamość. Może to jednak utrudnić proces zapisywania się do serwisu i zniechęcić konsumentów. "Mimo wszystko, to konsument w ostatecznym rozrachunku wygra na tym, że będzie uczestniczył w bardziej restrykcyjnym procesie weryfikacyjnym" – uważa Jason Malo, specjalista od zabezpieczeń cyfrowych w CEB TowerGroup. "Kryminaliści zawsze będą podążać za pieniędzmi a karty kredytowe od zawsze były tu problemem – uważa Darren Hayes, profesor na Pace University, zajmujący się problemami cyberbezpieczeństwa – W tej chwili Apple Pay wygląda jak wielka tarcza strzelnicza".

Tomasz Deptuła z Nowego Jorku