Marek Bezdíček 
MTA turnikety v New Yorku
Výzkumník, který byl schopen sledovat, jak lidé používají systém metra MTA v New Yorku, říká, že stejná metodika odhaluje zranitelnost Apple Pay – ale není jasné, zda tomu tak skutečně je.
New York City přidalo podporu Apple Pay do všech stanic metra již v roce 2020, po zpožděném plánu ohledně služby Apple Express Transit.
Nyní Joseph Cox z 404 médií, tvrdí, že odhalil překvapivě slabou slabinu v systémech MTA – a že to také kompromituje Apple Pay. Cox líčí sledování cestovatele pomocí údajů o jeho kreditní kartě a bez dalšího vysvětlení říká, že totéž je možné, pokud platí zdánlivě mnohem bezpečnější Apple Pay.
„Seděl jsem uvnitř bytu a sledoval jejich pohyb prostřednictvím funkce na webu Metropolitan Transportation Authority (MTA), který provozuje systém metra v New Yorku,“ píše Cox. „S jejich souhlasem jsem zadal informace o kreditní kartě jezdce – údaje, které lze často snadno koupit na kriminálních tržištích nebo jejichž získání pro zneužívajícího partnera může být triviální – a vložil jsem je na stránky MTA pro OMNY, bezkontaktní metro. platební systém.“
„Po několika sekundách,“ pokračoval, „stránka chrlila cestovní historii jezdce za posledních 7 dní, žádné další ověření nebylo potřeba.“
Pokud je to správné, jedná se nepochybně o závažný bezpečnostní problém pro MTA. V e-mailu adresovaném Coxovi, ve kterém zdůrazňuje, že „je odhodlána zachovat soukromí zákazníků“, upozornila na to MTA, pouze zaznamenává místo vstupu cestujícího, nikoli místo jeho výstupu.
To je ale nesmysl, protože stalker nebo jiný zločinec může jen počkat, až se cestující vydá na zpáteční cestu, a má pravděpodobně celou svou trasu.
Systém MTA je tedy chybný, ale skutečná otázka se týká Apple Pay, protože by měl být odolný vůči jakýmkoli bezpečnostním problémům souvisejícím s kreditními kartami. V okamžiku transakce Apple Pay vůbec nepředává informace o kreditní kartě uživatele, ale poskytuje jednorázový ověřovací kód.
V důsledku toho Cox dochází k závěru, že jelikož on nebo jiní v 404 médií říkají, že by mohli provádět stejné sledování při použití Apple Pay, že Apple Pay je kompromitován.
Výsledky však musí být ještě zopakovány – a je zde také otázka, co tvoří bod transakce.
Cox nemá v této otázce příliš jasno, ale říká, že pro přístup k historii MTA uživatele musel pouze zadat údaje o jeho kreditní kartě. Jsou to jistě stejné údaje o kartě, které uživatel zaregistroval v bezkontaktním platebním systému OMNY společnosti MTA.
Pokud se tedy cestovatel zaregistroval například pomocí Apple Card, pak se nezdá kompromisem, pokud je platba na tento účet spuštěna na turniketu.
„Apple neodpověděl, když byl požádán, aby objasnil, jak funguje funkce webu MTA, když jezdec používá Apple Pay,“ napsal Cox.
Zdroj: appleinsider.com
