Brittiläisten Birminghamin ja Surreyn yliopistojen tutkijat löysivät haavoittuvuuden lähimaksujärjestelmässä Apple Pay, jonka avulla voit nostaa minkä tahansa summan rahaa siihen liitetyltä pankkikortilta ilman, että sinun tarvitsee avata iPhonen lukitusta. Kokeilu vahvisti, että menetelmä toimii vain Visa-pankkikorteilla.
Järjestelmän ominaisuus Apple Maksu tarkoittaa, että se vahvistaa tapahtuman vain tietyin ehdoin. Jotta maksu sujuisi, älypuhelimen omistajan on suoritettava todennus ja avattava iPhone jollakin kolmesta eri tavalla: Face ID:llä, Touch ID:llä tai salasanalla.
Kuitenkin tutkijat havaitsivat, että suoja Apple Maksu voidaan ohittaa käyttämällä sisäänrakennettua Express Transit -toimintoa, jonka avulla voit siirtää varoja linkitetyltä Visa-kortilta ilman, että sinun tarvitsee avata laitteen lukitusta. Express Transit -ominaisuus on otettu käyttöön järjestelmään Apple Maksa vuonna 2019, koska puhelimen lukitus on vaikea avata joka kerta maksaaksesi matkat samassa joukkoliikenteessä.
"Yhdessä Visa-kortin kanssa tästä voi olla hyötyä lukitun iPhonen suojauksen ohittamisessa. Toisin sanoen hyökkääjä voi siirtää minkä tahansa summan uhrin tililtä ilman, että hänen tarvitsee avata älypuhelinta", tutkijat selittävät. Todistaakseen sanansa asiantuntijat julkaisivat videon, jossa he saivat 1000 XNUMX punnan maksun lukitusta iPhonesta tietämättä sen salasanaa. Tätä varten he käyttivät Proxmark-mobiililaitetta, joka toimi kortinlukijana, joka oli vuorovaikutuksessa kuvitteellisen uhrin iPhonen kanssa. Android- maksupäätteenä toiminut laite. Julkaistun infografian mukaan asiantuntijoiden menetelmä toimii "Man-in-the-Middle" -periaatteen mukaisesti. Asiantuntijat huomauttavat, että tänään tämä haavoittuvuus on edelleen ajankohtainen, joten käyttäjät Apple Visa-korteilla maksaminen kannattaa ehdottomasti harkita tätä ominaisuutta.
"Keskustelumme kanssa Apple ja Visa ovat osoittaneet, että kun molemmat alan osapuolet ovat osittain syyllisiä tapahtumaan, kumpikaan ei ole halukas ottamaan vastuuta ja toteuttamaan muutoksia, jolloin käyttäjät ovat haavoittuvaisia loputtomiin", kommentoi Andrea Radu Birminghamin yliopistosta.
Lue myös:
- Apple AirTagia voidaan käyttää hakkerointiin ja tietovarkauksiin
- Moshi Sette Q langattoman latauksen tarkistus Moshi Flekto -lisäosalla Apple Katso
Siinä kaikki iOS-turvallisuutta koskevat myytit.
Periaatteessa minä näen asian näin. Syötä toimintojen järjestys johonkin ohjelmoijaan niin, että et koko ajan taputtele käsilläsi, laita laite laukkuun ja aja ruuhka-aikaan painaen laukkua ulkotaskuissa olevia matkapuhelimia vasten. Voitto! Varmuuden vuoksi harkitse tätä kommenttia huolestuneen kansalaisen viestinä kyberturvallisuusministeriölle. ;)