Forskere fra de britiske universiteter i Birmingham og Surrey opdagede en sårbarhed i det kontaktløse betalingssystem Apple Pay, som giver dig mulighed for at hæve ethvert beløb fra det bankkort, der er knyttet til det, uden at du behøver at låse iPhone op. Eksperimentet bekræftede, at metoden kun virker med Visa-bankkort.
En funktion ved systemet Apple Pay er, at det kun bekræfter transaktionen under visse betingelser. For at betalingen kan gå igennem, skal ejeren af smartphonen gennemgå godkendelse og låse iPhone op på en af tre måder: ved hjælp af Face ID, Touch ID eller en adgangskode.
Forskerne fandt dog ud af, at beskyttelsen Apple Betaling kan omgås ved hjælp af den indbyggede Express Transit-funktion, som giver dig mulighed for at overføre penge fra et tilknyttet Visa-kort uden at skulle låse enheden op. Express Transit-funktionen er blevet introduceret i systemet Apple Betal i 2019 på grund af det ubelejlige behov for at låse telefonen op hver gang for at betale for rejser i den samme offentlige transport.
“I kombination med et Visa-kort kan dette være nyttigt til at omgå beskyttelsen af en låst iPhone. Med andre ord kan angriberen overføre et hvilket som helst beløb fra offerets konto uden at skulle låse smartphonen op,« forklarer forskerne. For at bevise deres ord offentliggjorde eksperter en video, der viser, hvordan de modtog en betaling på £1000 fra en låst iPhone uden at kende adgangskoden fra den. Til dette brugte de en Proxmark mobilenhed, der fungerede som en kortlæser, der interagerede med det imaginære offers iPhone og Android- en enhed, der fungerede som betalingsterminal. Ifølge den offentliggjorte infografik fungerer eksperternes metode efter "Man-in-the-Middle"-princippet. Eksperter bemærker, at i dag er denne sårbarhed stadig relevant, så brugerne Apple Betal med Visa-kort er bestemt værd at overveje denne funktion.
"Vores diskussioner med Apple og Visa har vist, at når begge parter i branchen er delvist skyld i en begivenhed, er ingen af dem villige til at tage ansvar og implementere ændringer, hvilket efterlader brugere sårbare på ubestemt tid," kommenterede Andrea Radu fra University of Birmingham.
Læs også:
Vis kommentarer
Det er alle myterne om iOS-sikkerhed.
I bund og grund ser jeg det sådan. Indtast rækkefølgen af handlinger i en eller anden programmør, så du ikke fumler med hænderne hele tiden, læg enheden i tasken og kør i myldretiden, mens du trykker tasken mod mobiltelefonerne i de ydre lommer. Profit! For en sikkerheds skyld, bedes du betragte denne kommentar som en besked fra en bekymret borger til Department of Cyber Security. ;)