В Apple Pay가 연결된 Visa 카드에서 직접 자금을 훔칠 수 있는 취약점을 발견했습니다.

영국 버밍엄 및 서리 대학의 연구원들이 비접촉 결제 시스템의 취약점을 발견했습니다. Apple Pay를 사용하면 iPhone을 잠금 해제하지 않고도 연결된 은행 카드에서 금액을 인출할 수 있습니다. 실험은 이 방법이 Visa 은행 카드에서만 작동함을 확인했습니다.

시스템의 특징 Apple Pay는 특정 조건에서만 거래를 확인하는 것입니다. 결제가 이루어지기 위해서는 스마트폰 소유자가 Face ID, Touch ID 또는 비밀번호를 사용하는 세 가지 방법 중 하나로 인증을 받고 iPhone을 잠금 해제해야 합니다.

그러나 연구원들은 보호 기능이 Apple 내장된 Express Transit 기능을 사용하여 지불을 우회할 수 있습니다. 이 기능을 사용하면 장치를 잠금 해제하지 않고도 연결된 Visa 카드에서 자금을 이체할 수 있습니다. Express Transit 기능이 시스템에 도입되었습니다. Apple 동일한 대중 교통으로 여행 비용을 지불하기 위해 매번 전화를 잠금 해제해야 하는 불편함 때문에 2019년에 지불하십시오.

“Visa 카드와 함께 사용하면 잠긴 iPhone의 보호를 우회하는 데 유용할 수 있습니다. 즉, 공격자는 스마트폰을 잠금 해제하지 않고도 피해자의 계좌에서 원하는 금액을 이체할 수 있습니다."라고 연구원은 설명합니다. 그들의 말을 증명하기 위해 전문가들은 잠긴 iPhone에서 암호를 알지 못한 채 어떻게 £1000를 지불받았는지 보여주는 비디오를 공개했습니다. 이를 위해 그들은 가상의 피해자의 아이폰과 상호작용하는 카드리더 역할을 하는 Proxmark 모바일 기기를 사용했고, Android- 결제 단말기 역할을 했던 기기. 공개된 인포그래픽에 따르면 전문가의 방법은 '중간자(Man-in-the-Middle)' 원칙에 따라 작동합니다. 전문가들은 오늘날 이 취약점이 여전히 관련성이 있으므로 사용자는 Apple Visa 카드로 결제는 이 기능을 고려할 가치가 있습니다.

"와 우리의 논의 Apple 그리고 Visa는 업계의 양 당사자가 이벤트에 대해 부분적으로 책임이 있을 때 어느 쪽도 책임을 지지 않고 변경 사항을 구현하지 않아 사용자가 무기한 취약하다는 것을 보여주었습니다."라고 버밍엄 대학의 Andrea Radu가 말했습니다.

또한 읽기:

• Apple AirTag는 해킹 및 데이터 도용에 사용될 수 있습니다.
• Moshi Flekto 애드온을 사용한 Moshi Sette Q 무선 충전 검토 Apple 손목 시계