Istraživači s britanskih sveučilišta Birmingham i Surrey otkrili su ranjivost u sustavu beskontaktnog plaćanja Apple Pay, koji vam omogućuje podizanje bilo kojeg iznosa novca s bankovne kartice koja je s njim povezana bez potrebe za otključavanjem iPhonea. Eksperiment je potvrdio da metoda funkcionira samo s Visa bankovnim karticama.
Značajka sustava Apple Plaćanje je da potvrđuje transakciju samo pod određenim uvjetima. Kako bi plaćanje prošlo, vlasnik pametnog telefona mora proći autentifikaciju i otključati iPhone na jedan od tri načina: koristeći Face ID, Touch ID ili lozinku.
Međutim, istraživači su otkrili da zaštita Apple Pay se može zaobići korištenjem ugrađene funkcije Express Transit, koja vam omogućuje prijenos sredstava s povezane Visa kartice bez potrebe za otključavanjem uređaja. U sustav je uvedena značajka Express Transit Apple Platite u 2019. godini zbog nezgodne potrebe za otključavanjem telefona svaki put za plaćanje putovanja u istom javnom prijevozu.
“U kombinaciji s Visa karticom, ovo može biti korisno za zaobilaženje zaštite zaključanog iPhonea. Drugim riječima, napadač može prebaciti bilo koji iznos sa žrtvinog računa bez potrebe da otključa pametni telefon", objašnjavaju istraživači. Kako bi dokazali svoje riječi, stručnjaci su objavili video na kojem se vidi kako su primili uplatu od 1000 funti sa zaključanog iPhonea, a da nisu znali lozinku s njega. Za to su koristili mobilni uređaj Proxmark koji je djelovao kao čitač kartica koji je komunicirao s iPhoneom zamišljene žrtve i Android- uređaj koji je služio kao terminal za plaćanje. Prema objavljenoj infografici, metoda stručnjaka funkcionira po principu "Čovjek u sredini". Stručnjaci napominju da je danas ova ranjivost još uvijek relevantna, pa korisnici Apple Plaćanje Visa karticama svakako vrijedi razmotriti ovu značajku.
"Naši razgovori s Apple i Visa pokazali su da kada su obje strane u industriji djelomično krive za događaj, nijedna nije voljna preuzeti odgovornost i implementirati promjene, ostavljajući korisnike ranjivima na neodređeno vrijeme," komentirala je Andrea Radu sa Sveučilišta u Birminghamu.
Pročitajte također:
- Apple AirTag se može koristiti za hakiranje i krađu podataka
- Recenzija bežičnog punjenja Moshi Sette Q s Moshi Flekto dodatkom za Apple Gledaj
To su svi mitovi o sigurnosti iOS-a.
Uglavnom, ja to tako vidim. Unesite redoslijed radnji u neki programator da ne petljate cijelo vrijeme rukama, stavite uređaj u torbu i vozite na špici, pritišćući torbu uz mobitele u vanjskim džepovima. Dobit! Za svaki slučaj, ovaj komentar smatrajte porukom zabrinutog građanina Odjelu za kibernetičku sigurnost. ;)