Новые исследования раскрывают уязвимости безопасности в популярных цифровых кошельках

Сегодня Университет Массачусетса Амхерст опубликовал исследовательскую статью, в которой раскрыты значительные уязвимости в популярных цифровых кошельках, таких как Apple Pay, Google Pay и PayPal. Исследование подчеркивает, как эти технологии, предполагаемые к использованию более чем 5,3 миллиардами людей к 2026 году, могут быть скомпрометированы из-за устаревших методов аутентификации, которые ставят удобство перед безопасностью.

В анонсе университета также объясняется, что исследователи обнаружили недостаток в том, как банки обрабатывают украденные карты. Банки обычно блокируют физическую карту, но не учитывают транзакции через цифровые кошельки, где система токенов не требует повторной аутентификации после замены карты.

В результате злоумышленники все ещё могут использовать украденные данные карты для покупок, даже после того как жертва получила новую карту. Это выявляет критическую проблему безопасности, которую необходимо решить для защиты от мошеннических транзакций.

Таки Раза, один из авторов статьи, заявляет в объявлении: «Любой злонамеренный актер, который знает [физический] номер карты, может притвориться владельцем карты, […] В цифровом кошельке недостаточно механизмов для подтверждения того, является ли пользователь карты ее владельцем или нет.»

Кроме того, исследование показывает, что злоумышленники могут использовать эти цифровые кошельки различными способами. Во-первых, они могут добавить банковскую карту жертвы в свой собственный кошелек, обходя соглашение об аутентификации между кошельком и банком.

Во-вторых, они используют врожденное доверие между кошельком и банком, чтобы обойти авторизацию платежей. В-третьих, злоумышленники могут манипулировать типами платежей, чтобы обойти политику контроля доступа, позволяя им совершать несанкционированные покупки, несмотря на то, что карта была сообщена как украденная.

Исследование изучало уязвимости в крупных американских банках и приложениях цифровых кошельков, показывая, что даже после уведомления банков, проблемы остаются. Исследователи обнаружили, что новые данные карт связываются со старым виртуальным токеном без повторной аутентификации, что позволяет продолжать мошенническую деятельность.

Чтобы решить эти проблемы, исследование предлагает несколько контрмер. Одна из основных рекомендаций — заменить устаревшие системы одноразовых паролей (OTP) на более безопасные методы многофакторной аутентификации (MFA).

Кроме того, исследование предлагает внедрить непрерывную аутентификацию для управления токенами с целью улучшения безопасности. В настоящее время платежные токены остаются действительными бесконечно после начальной аутентификации. Рекомендуется, чтобы банки использовали периодическую повторную аутентификацию и обновление токенов, особенно после критических событий, таких как утрата карты.

Наконец, исследование рекомендует улучшить авторизацию транзакций путем анализа метаданных транзакций, таких как время и частота, для выделения разовых и повторяющихся транзакций. Это поможет предотвратить неправильное использование меток транзакций и обеспечит соответствие транзакций их предполагаемым типам и суммам.