Уязвимость Apple Watch позволяет ворам использовать Apple Pay без вашего PIN-кода

Нет, ваши Apple Watch не полностью защищены от взлома, несмотря на то, что некоторые утверждают.

Основная идея безопасности заключается в том, что часы могут определять, когда они сняты с запястья, и автоматически требуют ввода пароля при его удалении (если он установлен, что является обязательным условием для использования Apple Pay). Таким образом, мы решили обмануть датчик, думая, что он все еще на запястье, снимая его. Сделав еще один шаг вперед, мы хотели посмотреть, сможем ли мы использовать этот «эксплойт» для запуска Apple Pay и совершения покупок с помощью чужой карты.

Мы перейдем прямо к погоне — мы заставили его работать без особых усилий. Вот как мы это сделали, и что вы можете сделать, чтобы защитить себя, если кто-то использует эту технику на вас.

Как сенсоры Apple Watch поддерживают его разблокировку

На задней панели Apple Watch находятся четыре специально разработанных кольца, которые содержат 4 компонента датчика сердечного ритма — 2 зеленых / инфракрасных светодиода и 2 фотодиодных датчика.

При измерении вашего пульса этот датчик может определить, носят ли часы в настоящее время. Таким образом, если ваши Apple Watch защищены паролем, вам не нужно будет вводить пароль каждый раз, когда вы захотите его использовать (если он не покидает ваше запястье).

Попробуйте сами. Когда ваши часы Apple Watch защищены паролем, вам не нужно вводить пароль каждый раз, когда вы хотите его использовать. Теперь снимите Apple Watch с вашего запястья. Через секунду он заблокирует и попросит вас ввести пароль, чтобы снова получить к нему доступ.

Уязвимость

Хотя обнаружение запястья является полезной функцией, вы заметили ту часть, в которой я упомянул, что задержка в одну секунду до того, как Apple Watch блокируется?

Эта задержка в одну секунду до того, как Apple Watch активирует свою защиту паролем, не может быть исправлена. Необходимо предотвратить постоянную повторную блокировку часов во время разделения доли секунды от вашей кожи, которое происходит при регулярном использовании. В конце концов, было бы довольно раздражающе, если бы бег, тряска запястья или вращение часов для удобства заставили их заблокироваться.

Но здесь есть одна загвоздка: часы не могут отличить запястье от пальца.

Зная это, нам удалось использовать эту задержку в одну секунду, чтобы использовать датчик, просто касаясь задней части часов, снимая их с чьего-то запястья. Часы оставались незапертыми, пока мы держали спину. На самом деле, было достаточно легко переключать Apple Watch с одного запястья на другое — и все это без блокировки устройства. Хотя мы не очень хороши в наручных часах, есть несколько человек, которые это делают.

Это просто: кто-то может украсть ваши часы, просто взяв их за спину, чтобы получить доступ к информации, хранящейся на них. И поскольку многие люди без сомнения ставят свои кредитные карты на свои Apple Watch, да, это включает Apple Pay. Эксплуатация еще проще с более дорогими магнитными лентами Leather Loop и Milanese Loop, поскольку они выскальзывают с минимальными усилиями.

Как снять часы Apple Watch без срабатывания пароля

Чтобы проверить это, мы попросили Нила Гонсалеса синхронизировать его iPhone с Apple Watch, добавить код блокировки экрана и настроить его кредитную карту для использования с Apple Pay (мы использовали кредитную карту, потому что они не требуют ввода PIN-кода в платежный терминал как дебетовая карта).

Мы начали с того, что Нил носил Apple Watch на своем запястье, что не требовало от него ввода пароля. Моя цель здесь состоит в том, чтобы снять часы с его запястья и перенести их на мое, не отпуская их.

Уязвимость Apple Watch позволяет ворам использовать Apple Pay без вашего PIN-кода

Я снял Apple Watch с его запястья двумя руками, затем быстро сунул два пальца под корпус часов, где расположен датчик сердечного ритма, чтобы сохранить контакт с кожей. Конечно, все это должно было быть сделано за секунду до того, как Часы остановили меня.

Уязвимость Apple Watch позволяет ворам использовать Apple Pay без вашего PIN-кода

Затем я быстро надел часы Apple Watch на свое запястье, закрепил их и вуаля! Я смог получить доступ ко всему на его Apple Watch без необходимости ввода пароля, включая его кредитную карту, которая была «защищена» через Apple Pay.

Уязвимость Apple Watch позволяет ворам использовать Apple Pay без вашего PIN-кода

Вообще-то, мы даже выключили iPhone Нила, который отключает почти все на Apple Watch —кроме Apple Pay. Но просто чтобы убедиться, что мы не пропустили некоторые резервные функции безопасности, мы отправились в Walgreens, чтобы применить этот эксплойт к действию. С Apple Watch на моем запястье я смог без проблем запустить Apple Pay и совершить покупку с помощью кредитной карты Нила.

Уязвимость Apple Watch позволяет ворам использовать Apple Pay без вашего PIN-кода

Да, это было намного проще, чем я думал (и надеялся).

Как защитить себя от воров

Очевидно, что этот метод кражи Apple Watch, при котором все время поддерживается контакт с кожей под ним и убегают, крайне маловероятен, если вы не тусуетесь с магами, карманниками или ездите на работу в переполненных поездах. Тем не менее, это определенно то, о чем нужно знать и защищать себя.

  1. Установить пароль

Несмотря на то, что мы показали, как использовать Apple Watch, защищенные паролем, мы все же рекомендуем вам установить их. Без пароля, это гарантия того, что если ваши Часы будут украдены, вор сможет получить доступ ко всей информации на нем, включая Apple Pay. Кроме того, воры могут стереть ваши Apple Watch и восстановить их как свои собственные, поэтому убедитесь, что вы установили пароль, а не один из этих 1234.

  1. Удалить Apple Pay

Если ваши Apple Watch оказались не на своем месте, первое, что вы должны сделать, это удалить свои кредитные карты из Apple Pay непосредственно из приложения Apple Watch на вашем iPhone. Таким образом, если он у кого-то есть, он, по крайней мере, не сможет использовать вашу кредитную карту для совершения покупок.

К сожалению, чтобы этот метод работал, Apple Watch должны быть в пределах досягаемости вашего iPhone. В противном случае вам придется войти в свою учетную запись iCloud через Интернет, перейти в «Настройки» -> «Мои устройства», выбрать часы, а затем нажать «Удалить все», чтобы стереть планшет. Ваши карты будут по-прежнему видны на часах, но только последние 4 цифры номера. Никакая другая часть этого номера не сохраняется в Watch, и каждая карта связана с идентификатором конкретного устройства, который Apple деактивирует на своем сервере.

Еще несколько вещей, на которые стоит обратить внимание

Мы часами играли с этим подвигом, пытаясь найти другие способы, которыми мы могли бы поднять Apple Watch, не вызывая пароль. Если вы действительно осторожны, вы можете снять полосу и медленно поднять Apple Watch вверх, потому что кажется, что акселерометр также играет роль в блокировке дисплея.

Если вы делаете это достаточно медленно, когда дисплей часов активен, вы можете оставить его разблокированным и надеть его на запястье, но он не работал достаточно хорошо, чтобы мы могли заявить о нем как о чем-то большем, чем случайность.

Мы также заметили, что иногда Apple Watch оставались полностью разблокированными даже после того, как убрали пальцы с сенсора. Хотя это происходило не каждый раз, это случалось дважды, и вы можете узнать больше об этом на MacRumors.

Последние мысли

Помимо этого «фингергейта», Apple Watch на самом деле довольно безопасное устройство. Он не хранит слишком много информации, и даже тогда трудно получить к нему доступ, если подключенный к нему iPhone находится вне диапазона или выключен — за исключением, конечно, Apple Pay!

Эта статья служит скорее предупреждением, чтобы показать вам, что потенциально могут сделать воры при краже ваших Apple Watch. Трудно увидеть, что этот метод работает для обычных воров, но его можно использовать против кого-то, кто пьян и не подозревает, в баре или клубе, или иным образом без сознания.

Я не могу сосчитать, сколько раз у меня кто-то пытался оторвать свой iPhone или кошелек от меня, когда он находился в шумном и переполненном баре, так что же помешает им попробовать его на моих часах?

Все, что нужно, это кто-то, чтобы немного напиться, и из темноты появляется вор, который может легко снять ваши Apple Watch, держать свои пальцы под датчиком и использовать свою кредитную карту, чтобы купить всем напиток в баре.

Следите за Apple Hacks на Facebook и Twitter, или Gadget Hacks на Facebook, Google+ и Twitter, чтобы узнать больше новостей, приложений и советов Apple.

Ссылка на основную публикацию