Az érintéses fizetés mára a mindennapok részévé vált, és általánosságban biztonságos megoldásnak számít. Egy friss, részletes elemzés azonban rávilágított egy régóta ismert problémára, amely az Apple eszközeit érinti, miközben az Android alapú telefonok jelenleg nem sebezhetÅ‘k ugyanilyen módon.
A szóban forgó sérülékenység az úgynevezett „tap-to-pay” rendszerhez kapcsolódik, amely lehetÅ‘vé teszi, hogy a felhasználók egyszerűen a terminálhoz érintsék a telefonjukat fizetéskor. A probléma gyökere az iPhone-ok egyik speciális funkciójában, az úgynevezett „Express mód”-ban rejlik. Ez a funkció arra lett kitalálva, hogy például tömegközlekedési rendszerekben gyorsan lehessen fizetni anélkül, hogy a felhasználónak fel kellene oldania a készüléket. Ez különösen hasznos olyan helyeken, ahol a hálózati kapcsolat nem mindig stabil, például metrókban.
A kutatók azonban kimutatták, hogy ezt a rendszert egy speciális támadási módszerrel ki lehet játszani. A támadás során a készüléket „megtévesztik”, és elhitetik vele, hogy egy közlekedési rendszerrel kommunikál, így a telefon feloldás nélkül is engedélyezheti a fizetést. A helyzetet tovább súlyosbítja, hogy bizonyos esetekben – különösen a Visa rendszere esetén – nagyobb összegű tranzakciók sem feltétlenül kerülnek blokkolásra ebben a módban.
Fontos azonban kiemelni, hogy ez a támadás nem egyszerűen kivitelezhetÅ‘, és speciális eszközöket, valamint technikai tudást igényel. A folyamat része például egy módosított, úgynevezett „rootolt” Android készülék használata is, amely képes bankkártyát emulálni. Ennek ellenére a sérülékenység már évek óta ismert, és mind az Apple, mind a Visa tud róla.
Az Android ökoszisztéma ugyanakkor másképp kezeli ezt a helyzetet. A Google által fejlesztett Google Wallet például megengedi a fizetést zárolt képernyÅ‘ mellett is, de csak akkor, ha a kijelzÅ‘ aktív, ami egy extra biztonsági réteget jelent. Emellett a rendszer szigorúbb ellenÅ‘rzéseket alkalmaz nagyobb összegű tranzakciók esetén, és a biometrikus azonosítás is egyre hangsúlyosabb szerepet kap még a fizetésen kívüli műveleteknél is.
A Samsung saját megoldásai szintén óvatosabban kezelik a tranzakciókat, különösen akkor, ha azok szokatlanul nagy összegűek vagy gyanús környezetben történnek. Ez azt jelenti, hogy az Androidos készülékek több ponton is megpróbálják kiszűrni az ilyen jellegű visszaéléseket.
Összességében tehát bár a mobilfizetés továbbra is biztonságos technológiának számít, ez az eset jól mutatja, hogy még a legelterjedtebb rendszerek sem tökéletesek. Az iPhone-oknál az Express mód kényelmi funkciója egy speciális körülmények között kihasználható kockázatot rejt, míg az Android rendszerek jelenleg több védelmi mechanizmust alkalmaznak ugyanennek a problémának az elkerülésére.
