Istraživači sa britanskih univerziteta Birmingham i Surrey otkrili su ranjivost u sistemu beskontaktnog plaćanja Apple Pay, koji vam omogućava da podignete bilo koji iznos novca sa bankovne kartice povezane s njom bez potrebe da otključate iPhone. Eksperiment je potvrdio da metoda radi samo sa Visa bankovnim karticama.
Karakteristika sistema Apple Plaćanje je da potvrđuje transakciju samo pod određenim uslovima. Da bi uplata prošla, vlasnik pametnog telefona mora proći autentifikaciju i otključati iPhone na jedan od tri načina: pomoću Face ID-a, Touch ID-a ili lozinke.
Međutim, istraživači su otkrili da zaštita Apple Plaćanje se može zaobići korištenjem ugrađene funkcije Express Transit, koja vam omogućava prijenos sredstava sa povezane Visa kartice bez potrebe da otključavate uređaj. Funkcija Express Transit je uvedena u sistem Apple Platite u 2019. godini zbog nezgodne potrebe za otključavanjem telefona svaki put za plaćanje putovanja u istom javnom prevozu.
“U kombinaciji s Visa karticom, ovo može biti korisno za zaobilaženje zaštite zaključanog iPhonea. Drugim riječima, napadač može prenijeti bilo koji iznos sa računa žrtve bez potrebe da otključa pametni telefon“, objašnjavaju istraživači. Kako bi dokazali svoje riječi, stručnjaci su objavili video koji pokazuje kako su primili uplatu od 1000 funti sa zaključanog iPhonea, a da ne znaju lozinku s njega. Za to su koristili mobilni uređaj Proxmark koji je služio kao čitač kartica koji je stupio u interakciju s iPhoneom zamišljene žrtve i Android- uređaj koji je služio kao terminal za plaćanje. Prema objavljenoj infografiki, metoda stručnjaka radi po principu "Čovjek u sredini". Stručnjaci napominju da je danas ova ranjivost i dalje relevantna, pa korisnici Apple Plaćanje Visa karticama svakako vrijedi razmotriti ovu funkciju.
„Naši razgovori sa Apple i Visa su pokazali da kada su obje strane u industriji djelimično krive za događaj, nijedna nije spremna preuzeti odgovornost i implementirati promjene, ostavljajući korisnike ranjivim na neodređeno vrijeme“, komentirala je Andrea Radu sa Univerziteta u Birminghamu.
Pročitajte također:
View Comments
To su svi mitovi o sigurnosti iOS-a.
U suštini, ja to tako vidim. Unesite redoslijed radnji u neki programator da ne petljate cijelo vrijeme, stavite uređaj u torbu i vozite u špicu, pritišćući torbu o mobitele u vanjskim džepovima. Profit! Za svaki slučaj, ovaj komentar smatrajte porukom zabrinutog građanina Odjelu za sajber sigurnost. ;)