Onderzoekers kunnen Visa-betalingen via Apple Pay uitvoeren zonder ontgrendeling

Britse onderzoekers hebben een manier gevonden om betalingen via Apple Pay uit te voeren terwijl de telefoon vergrendeld is. Dat kan met Visa-kaarten als een gebruiker de Express-modus aan heeft staan. De onderzoekers kunnen het signaal omzeilen.

De onderzoekers van de universiteiten van Birmingham en Surrey beschrijven in een paper hoe ze een betaling kunnen uitvoeren met een iPhone zonder daarbij authenticatie via Face ID of Touch ID te gebruiken. Dat kan alleen als de Apple Wallet in de Express-modus is gezet. Dat is een modus waarmee gebruikers in bepaalde gevallen hun telefoon niet hoeven te ontgrendelen om een betaling te doen of een kaart te scannen. Express-modus werkt voor een aantal kaarten, zoals openbaartransportkaarten in de Londense metro. Reizigers hoeven daar hun telefoon niet te ontgrendelen voor ze door een toegangspoort lopen, omdat die toegangspoort het type kaart op de telefoon automatisch herkent.

In het onderzoek wisten de wetenschappers de communicatie tussen de iPhone en een kaartlezer met een man-in-the-middle-aanval te simuleren. Dat doen ze door de zogeheten Magic Bytes-string te onderscheppen en die via een eigen apparaat naar de iPhone van een slachtoffer te sturen. Magic Bytes is hoe Apple de communicatiestroom noemt tussen een EMV-kaartlezer en een iPhone. Daardoor denkt de iPhone dat het contact legt met een kaartlezer binnen een geautoriseerde kaartlezer die in het OV wordt gebruikt, maar dat kan dus ook een kaartlezer zijn van de hackers.

De onderzoekers wisten vervolgens de Card Transaction Qualifiers aan te passen die bedoeld zijn om een limiet te zetten op het aantal transacties dat kan worden uitgevoerd, en op de hoogte daarvan. In de praktijk wisten de onderzoekers zo een transactie van duizend pond van een telefoon te halen. Dat gebeurde op een iPhone 7, maar ook een recentere iPhone 12.

De aanval werkt alleen met Visa-kaarten in de Apple Wallet. Mastercard-kaarten hebben nog een extra controlemechanisme. Dat voorkomt dat een iPhone dergelijke transacties accepteert vanaf iedere willekeurige kaartlezer. Naast een Magic Bytes-string moet een terminal ook een specifieke code meesturen die verifieert dat het een geautoriseerd apparaat is, maar dat gebeurde niet.

Volgens de onderzoekers ligt het probleem bij het gebrek aan een verificatie bij Apple in combinatie met een gebrek aan checks bij Visa. Bij bijvoorbeeld Samsung Pay wordt een Visa-kaart wel geverifieerd. De onderzoekers zeggen dat ze hun bevindingen hebben doorgegeven aan zowel Apple als Visa. Beide bedrijven verwijzen echter naar elkaar en hebben geen oplossing voor het probleem aangedragen in de afgelopen maanden.

Reacties (57)

Groningerkoek 30 september 2021 14:36

Express mode werkt ook met normale Debet/Krediet kaarten en is per kaart aan en uit te zetten. Daar hoef je echt geen aparte OV kaart voor te hebben.

De Card Transaction Qualifiers worden door Visa bepaalt, en het is ook Visa die bepaalt of er wel of geen offline betalingsmogelijkheid is. Het artikel geeft niet aan of zij een methode hebben weten te ontwikkelen om de limieten die je in de Apple Wallet zelf in kunt stellen ook te omzeilen zijn, dus ik denk het niet.

De Man in the middle aanval wordt te gemakkelijk gemaakt wegens het door Apple toestaan van het installeren van een Card welke onvoldoende authentificatie vereist. Uiteindelijk is het de card die bepaalt welke cardlezer wel of geen toegang tot die specifieke card heeft.

Apple gaat niet vrijuit, maar ik zie dit vooral als een probleem van Visa welke het gewoon te gemakkelijk maakt om hun centjes door jou uit te geven.

Jurgen37 30 september 2021 16:58

Wat ze altijd in zo’n hacks vergeten te zeggen is dat het niets waard is. Je mag nog een kaartlezer namaken maar je krijgt niet zomaar een geldige account om überhaupt die kaartlezer te kunnen koppelen.
Je moet er immers minstens een geldig en goed bedrijf voor zijn en de nodige documenten voor kunnen leggen.
Daarna heb je pas je account om je kaartlezers te kunnen koppelen.
Stel je begint dan je geld te stelen, waar je dan nog eens extreem dichtbij je slachtoffer moet staan. Het kan niet op afstand. En dan heb je het nog niet onmiddellijk je geld. Blijft immers nog een tijdje op een wachtrekening staan. Daarna gaat het pas naar je gewone bankrekening waarna ze het nog steeds na x zoveel weken kunnen terugvorderen ook al heb je het ondertussen doorgesluisd.
Dus het is denk ik makkelijker om een bank te overvallen met een speelgoed pistool dan dit op te zetten. Zal ook daarmee zijn waarom het in het echte leven zelden tot nooit voor komt. Zelfde voor de fraude met contactloze betalingen.
Je kan beter codes proberen te stellen aan een bankautomaten of goedgelovige mensen aan de lijn krijgen die met alle plezier hun bankcodes doorgeven.

Geim 30 september 2021 14:06

Nou, da's lekker:"Beide bedrijven verwijzen echter naar elkaar en hebben geen oplossing voor het probleem aangedragen in de afgelopen maanden."

Kom op, werk samen en kom tot een oplossing

Backspin @Geim • 30 september 2021 14:30

Visa verwijst niet naar Apple, Visa ziet dit niet als een probleem: ""Visa cards connected to Apple Pay Express Transit are secure, and cardholders should continue to use them with confidence," said a Visa spokesperson. "Variations of contactless fraud schemes have been studied in laboratory settings for more than a decade and have proven to be impractical to execute at scale in the real world."
(bron: macrumors.com)

Groningerkoek @Backspin • 30 september 2021 14:40

Oftewel wijzigen van de procedure kost meer geld dan wat wij verwachten aan de klant te moeten vergoeden wegens misbruik.

Ayporos @Groningerkoek • 30 september 2021 17:51

Tsja... het is kosten vs baten hè.

Dark Angel 58 @Geim • 30 september 2021 16:29

Nou, da's lekker:"Beide bedrijven verwijzen echter naar elkaar en hebben geen oplossing voor het probleem aangedragen in de afgelopen maanden."

Kom op, werk samen en kom tot een oplossing

Dat lijkt me een taak voor overheid... overheid moet hun ballen zwaar knijpen tot ze meewerken...
Bijvoorbeeld per dag 1 miljard boete... Dan gaan ze opeens meewerken! Dat werkt en dat loont wel

Highlands @Dark Angel 58 • 30 september 2021 16:58

Wat is dat toch, iedere vorm van verantwoordelijkheid bij de overheid neerleggen?

Isheara 30 september 2021 14:23

Ik heb mijn VISA card (nog) niet in ApplePay, dus hoe dit kan? Of zijn er mensen die via hun bank een VISA kaart hebben die wel via ApplePay werkt? In NL blijkbaar dus nog niet.

Nogne @Isheara • 30 september 2021 14:26

Je kan je VISA kaart aan Apple Pay toevoegen dmv Curve (kan je vinden in de App Store).

Dennisb1 @Nogne • 30 september 2021 15:57

Als ik het goed zie werkt deze app als mitm, je betaald dus al je betalingen (met transactiekosten?) via hun kaart met jou kaart.

Zeg maar net als Tikkie alleen dan met mogelijk extra kosten? Waarom zou je dat in willen?

[Reactie gewijzigd door Dennisb1 op 23 juli 2024 02:40]

Nogne @Dennisb1 • 30 september 2021 16:20

Wat voor extra kosten heb je het dan over? Tikkie ondersteund geen Apple Pay, dus dat kan je niet gebruiken.

Heb zelf nog nooit extra kosten gehad (geen abonnement of dat er meer is afschreven dan ik moest betalen aan de terminal), dus weet niet waar je die kosten vandaan haalt.

En waarom je het zou willen, omdat je je VISA kaart anders niet met Apple Pay kan gebruiken. Dat was tenslotte de vraag/opmerking.

Dennisb1 @Nogne • 1 oktober 2021 15:08

Ik zie 1,5% transactie kosten staan

Nogne @Dennisb1 • 3 oktober 2021 10:25

Heb even mijn transacties bekeken en vergeleken met wat is afgeschreven maar dit komt 1:1 overeen met wat er op de bon staat. Waar zie jij de 1.5% transactie kosten als je een eigen debit/creditcard gebruikt icm Curve?

Groningerkoek @Nogne • 30 september 2021 18:53

Beter doe je het rechtstreeks, Curve is alleen nodig als je voordeel ziet in het hebben van een extra Mastercard, waarbij je Visa via een Mastercard verloopt...

Ik zie daar echt 0,0 voordeel in.

Nogne @Groningerkoek • 1 oktober 2021 07:23

Hoe kan je het rechtstreeks doen dan, want als ik mijn Visa invoer in Apple Pay geeft Apple Pay aan dat mijn kaart niet word ondersteund. Hoor graag van je hoe ik dit alsnog kan forceren.

Groningerkoek @Nogne • 1 oktober 2021 12:59

Via wie heb jij een Visa Card?

Even kijken bij Apple Pay of jouw bank om te zien of jouw kaart wordt ondersteund.

[Reactie gewijzigd door Groningerkoek op 23 juli 2024 02:40]

Nogne @Groningerkoek • 1 oktober 2021 13:01

Mijn creditcard via ICS en mijn debitcard via Crypto.com.

Groningerkoek @Nogne • 1 oktober 2021 13:06

Beiden hebben geen ondersteuning voor Apple Pay, ik heb Visa via mijn ondersteunde bank en dat kan wel.

JonnyTheG @Isheara • 30 september 2021 15:16

Ik heb mijn VISA card van de Rabobank toegevoegd aan Apple Pay.
Ik heb even naar de instellingen gekeken en ik kan ook mijn Debitcard als express-ov-kaart selecteren. Volgens mij werkt de functie in Nederland niet. Voor nu dan ook maar uitgezet.

Kecin

@Isheara • 30 september 2021 15:33

Ik heb meerdere Visa, Amex en Mastercard kunnen koppelen. Verschillende bankkaarten ook (dus Visa van/via de bank ipv via de cc maatschappij zelf).

t_captain 30 september 2021 14:17

In de basis een configuratieprobleem: de Visa kaart zou nooit mogen worden toegevoegd aan de kaarten waarvoor Express Mode beschikbaar is.

Wat ik ernstiger vind, is het kennelijkegebrek aan authenticatie van de terminal.

Groningerkoek @t_captain • 30 september 2021 14:38

Dat die kaart aan express kan worden toegevoegd is niet vreemd, genoeg mensen die hun Visa card voor het OV gebruiken, weet niet of dat in Nederland kan, maar hier in Zwitserland wel.

Byron010 @Groningerkoek • 30 september 2021 14:45

In Nederland gebruiken wij nog een aparte OV kaart.
Er liep volgens mij wel een pilot om te testen of die ook weg kan, maar hoe ver dat is weet ik niet.

amarissimo @Groningerkoek • 30 september 2021 14:51

Binnenkort in Nederland ook lijkt me. OV chipkaart gaat eruit.

R4gnax @amarissimo • 30 september 2021 18:56

Binnenkort in Nederland ook lijkt me. OV chipkaart gaat eruit.

Ben benieuwd hoe ze dit dan werkbaar willen krijgen voor oudere mensen die geen smartphone op zak hebben maar wel in grote mate van het OV afhankelijk zijn...

thof

@R4gnax • 30 september 2021 19:03

Er komt volgens ovpay.nl gewoon een nieuwe ov-chipkaart achtige kaart naast de mogelijkheid om te reizen met je betaalpas en creditcard. Dus dat zal wel loslopen. Wel benieuwd of die express modus ook hier van toepassing gaat zijn. Doet er hier iemand al mee die dit gebruikt in Lelystad?

R4gnax @thof • 30 september 2021 23:23

Er komt volgens ovpay.nl gewoon een nieuwe ov-chipkaart achtige kaart naast de mogelijkheid om te reizen met je betaalpas en creditcard. Dus dat zal wel loslopen.

Mooi. Net even de informatie site bekeken en ze lijken voor de verandering inderdaad eens degelijk rekening met dit soort zaken te hebben gehouden.

TheVivaldi @Groningerkoek • 30 september 2021 16:36

Hier in Nederland nog niet, maar ze zijn wel bezig om dat op te tuigen.

Mr. Freeze 30 september 2021 15:56

Wat is de tijdswinst nu in verhouding tot een veiligheidsrisico met zoiets als express mode? een telefoon ontgrendelen gaat tegenwoordig zo snel, ik zie echt geen reden om deze modus in te schakelen, je ziet poortje al een paar meter van tevoren en ondertussen is ie ontgrendeld.

WhatsappHack

Apple
Apple Pay
Beveiliging en antivirus

@Mr. Freeze • 30 september 2021 18:02

Dit is niet het enige wat het doet. Het zorgt er ook voor dat als de accu van je telefoon leeg is, hij nog tenminste x aantal uur OV-poortjes, poorten bij parkeergarages of bijvoorbeeld je kamer bij de universiteit open kan maken. Het toestel staat dan uit, maar NFC werkt nog met die specifieke kaart.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 02:40]

Mr. Freeze @WhatsappHack • 30 september 2021 21:20

Dat is zeker een mooie bijkomstigheid, maar misbruik voorkomen is net even wat belangrijker voor me.

WhatsappHack

Apple
Apple Pay
Beveiliging en antivirus

@Mr. Freeze • 1 oktober 2021 01:27

Nou, ja, over het algemeen valt er dus heel erg weinig aan te misbruiken en is de beveiliging prima in orde. Dit is een edge case met VISA, waarbij het ook nog zo is dat niet elke willekeurige jandoedel daar misbruik van kan maken daar je een actieve merchant account nodig hebt bij een processor. (Dus even zomaar een PayPal-accountje aanmaken o.i.d. en gaan met die banaan zit er niet in.)

Imho, dit is veiliger dan de NFC-functie op je pinpas/CC.

TheVivaldi @Mr. Freeze • 30 september 2021 16:41

Als je haast hebt, is het niet handig als je hem eerst moet ontgrendelen. En niet iedereen is even snel met ontgrendelen (ik ook niet). Met Face ID misschien wel, maar dan moet je wel een telefoon met Face ID hebben.

sjettepetJR. @Mr. Freeze • 30 september 2021 17:07

heb sinds ongeveer 2 maanden ook de mogelijkheid om met mijn telefoon te betalen op Android, vond het altijd een beetje onnodig. het viel mij echter heel erg op hoe veel sneller het is dan een pasje uit je portemonnee pakken.

maar unlocken kost me letterlijk een halve seconde, wanneer ik mijn telefoon uit mijn zak pak is hij praktisch al unlocked door de natuurlijk positie van de vingerafdrukscanner. dit is echt een duidelijk nadeel van FaceID, waarbij je echt eerst naar het scherm moet kijken.

ik snap nog steeds niet dat de iPhones van €1500 geen vingerafdrukscanner hebben, je vind ze zelfs in apparaten van onder de €200.

Mr. Freeze @sjettepetJR. • 30 september 2021 21:16

Apple Pay heb ik het niet over, gebruik ik al sinds beschikbaar is bij Bunq. Maar die vereist ten alle tijde Face bij mij.

Edit, behalve wanneer ik met de Watch betaal natuurlijk, maar die heeft weer een andere beveiliging.

[Reactie gewijzigd door Mr. Freeze op 23 juli 2024 02:40]

sus @sjettepetJR. • 30 september 2021 22:47

Ik snap nog steeds niet dat de iPhones van €1500 geen vingerafdrukscanner hebben, je vind ze zelfs in apparaten van onder de €200.

Niet meer hebben bedoel je. Ze hebben dat lang in de homebutton gehad en dat is er nu volledig uit.

En ik moet zeggen - na diverse toestellen met TouchID - FaceID vind ik echt veel prettiger; juist ook omdat hij zo staat ingesteld dat je hem actief moet aankijken. Ontgrendelen (en dus ook betalen) gaat niet door domweg de telefoon bij iemand voor z’n neus te houden - je *moet* er naar kijken om te ontgrendelen.

[Reactie gewijzigd door sus op 23 juli 2024 02:40]

WhatsappHack

Apple
Apple Pay
Beveiliging en antivirus

30 september 2021 14:27

“Naast een Magic Bytes-string moet een terminal ook een specifieke code meesturen die verifieert dat het een geautoriseerd apparaat is, maar dat gebeurde niet.”

Lekkere clusterfuck. Dus én VISA heeft geen adequate beveiliging én de terminals verzaken de autorisatie check te doen én Apple heeft geen counter-measures ingebouwd en vertrouwt teveel op VISA? Lekker verhaal.

Groningerkoek @WhatsappHack • 30 september 2021 16:49

Het is Visa die geen autorisatie check via de terminals vraagt, die terminals zelf doen prima wat ze moeten doen.

biteMark 30 september 2021 14:07

Gelukkig is de Express Mode vziw hier niet beschikbaar!

ericafterdark @biteMark • 30 september 2021 14:11

"Express Transit Card" functionaliteit in iOS 15 is ook beschikbaar in Nederland.

biteMark @ericafterdark • 30 september 2021 14:19

In zoverre: ja, je kan het inschakelen. In Nederland en omstreken heb je er alleen niet zoveel aan.

WhatsappHack

Apple
Apple Pay
Beveiliging en antivirus

@biteMark • 30 september 2021 14:23

Als je eindelijk eens kan inchecken in het OV met bankpas/CC wel, maar daar doen ze al eeuwen over.

biteMark @WhatsappHack • 30 september 2021 14:44

Euhm, dat is toch precies de reden dat je er hier nog niks aan hebt?

EmbarrassedBit @biteMark • 30 september 2021 14:55

In de omstreek Vlaanderen kan je op De Lijn (bus, tram, pre-metro) betalen met Maestro, MasterCard, V Pay en Visa. Ook als ze in Apple Pay of een andere digital wallet zitten. Als je een van die kaarten hebt geselecteerd voor de express-ov-modus, dan zou het zonder authenticatie moeten werken. Ik heb de indruk dat de link die je aanhaalt enkel gaat over lokale OV-chipkaarten die werken met de express-ov-modus.

TheVivaldi @EmbarrassedBit • 30 september 2021 16:40

In de omstreek Vlaanderen kan je op De Lijn (bus, tram, pre-metro) betalen met Maestro, MasterCard, V Pay en Visa. Ook als ze in Apple Pay of een andere digital wallet zitten.

In Nederland ook, maar dat gaat dan om dure halfuur- en uurkaartjes. Regulier reizen is goedkoper, maar daar heb je dan weer een OV-chipkaart voor nodig (behalve voor een los kaartje op de trein dan uit de automaat, maar daar kun je überhaupt niet contactloos betalen).

CyBeR @biteMark • 30 september 2021 14:15

De instelling is beschikbaar maar de functie wordt in Nederland niet gebruikt omdat onze OV-maatschappijen daar te langzaam voor werken en lijken te weigeren om iets met mobiel betalen te doen.

Maar je Nederlandse iOS telefoon meenemen naar een wat vooruitstrevender land en 't daar gebruiken is gewoon mogelijk.

Maarten21

@CyBeR • 30 september 2021 14:20

Komt eraan hoor!
https://ovpay.nl/nl/proef

CyBeR @Maarten21 • 30 september 2021 14:51

Ja ik weet er van maar je kunt niet ontkennen dat men daar weer rijkelijk laat mee bezig is.

Edit: wat ik nog niet wist is dat men volgende maand met een proef in amsterdam begint; interessant mits ook met GVB en niet alleen Transdev.

Edit2: volgens GVB zijn ze d'r hard mee bezig. Het was me al opgevallen dat ze de lezers aan het vervangen zijn.

[Reactie gewijzigd door CyBeR op 23 juli 2024 02:40]

CorbataGames

@CyBeR • 30 september 2021 16:26

Die worden hier in Amsterdam vervangen omdat je straks ook gewoon met je pinpas contactloos kunt betalen in het ov.

CyBeR @CorbataGames • 30 september 2021 16:44

Ja dat is het concept van OVPay. Maar je pinpas kan dus ook in Apple of Google Pay zitten in je telefoon.

teek2

@CyBeR • 30 september 2021 15:59

Hmm ik zie die functie nergens hoor?

CyBeR @teek2 • 30 september 2021 16:29

Als je in je Settings naar Wallet & Apple Pay gaat staat daar een sectie 'Travel Cards', en daar kun je dan een ondersteunde kaart kiezen. Op m'n oude telefoon werd alleen m'n ING credit card ondersteund, op m'n nieuwe ook m'n gewone betaalpas. Zover ik weet is dat technisch hetzelfde (EMV) en zou dat waarschijnlijk komen omdat ik de CC pas recent aan m'n oude telefoon heb toegevoegd en allebei nieuw op m'n nieuwe telefoon (m.a.w. wellicht is 't een vlaggetje dat pas recent is toegevoegd door ING). Maar iig niet alle kaarten ondersteunen het en ik stel me voor dat als je geen ondersteunde kaart hebt, dat dan die sectie ontbreekt. Ik heb ING en daarmee kan 't iig bij zowel de CC als gewone pinpas.

[Reactie gewijzigd door CyBeR op 23 juli 2024 02:40]

teek2

@CyBeR • 30 september 2021 16:55

Oh ja, thanx, idd, mijn N26 Mastercard (geen Maestro kaarten) staat daar als enige (in het NL is het "Express-ov-kaart").

[Reactie gewijzigd door teek2 op 23 juli 2024 02:40]

jmvdkolk @CyBeR • 30 september 2021 17:39

Moet je telefoon hiervoor op Engels ingesteld staan? Ik heb geen sectie "Travel Cards" (of iets wat daar op lijkt) met iOS 15. Heb ook ING kaarten erin staan (gewone betaalpas).

CyBeR @jmvdkolk • 30 september 2021 21:32

Niet dat ik weet, maar als je die kaarten lang geleden hebt toegevoegd zou je kunnen proberen om ze opnieuw toe te voegen. Ik denk dat ING die optie later pas heeft aangezet?

jmvdkolk @CyBeR • 1 oktober 2021 15:46

Ik heb mijn kaarten 9 maanden geleden toegevoegd bij ingebruikname van mijn huidige iPhone.

Als de ov-kaart in Nederland beschikbaar komt (in welke vorm dan ook), dan ga ik kijken of ik het aan de praat krijg. Nu biedt de optie voor mij nog geen voordeel.

Op dit item kan niet meer gereageerd worden.

Onderzoekers kunnen Visa-betalingen via Apple Pay uitvoeren zonder ontgrendeling

Lees meer

Reacties (57)

Sorteer op:

Weergave: