Didžiosios Britanijos Birmingemo ir Surėjaus universitetų mokslininkai aptiko bekontakčio mokėjimo sistemos pažeidžiamumą Apple Mokėti, leidžianti išsiimti bet kokią pinigų sumą iš su ja susietos banko kortelės neatrakinant iPhone. Eksperimentas patvirtino, kad metodas veikia tik su „Visa“ banko kortelėmis.
Sistemos ypatybė Apple Apmokėjimas reiškia, kad jis patvirtina operaciją tik esant tam tikroms sąlygoms. Kad mokėjimas būtų atliktas, išmaniojo telefono savininkas turi atlikti autentifikavimą ir atrakinti iPhone vienu iš trijų būdų: naudojant Face ID, Touch ID arba slaptažodį.
Tačiau mokslininkai nustatė, kad apsauga Apple Mokėjimą galima apeiti naudojant įmontuotą „Express Transit“ funkciją, kuri leidžia pervesti lėšas iš susietos „Visa“ kortelės neatrakinant įrenginio. Sistemoje įdiegta „Express Transit“ funkcija Apple Mokėkite 2019 metais dėl nepatogaus poreikio atrakinti telefoną kiekvieną kartą, norint sumokėti už keliones tuo pačiu viešuoju transportu.
„Kartu su „Visa“ kortele tai gali būti naudinga norint apeiti užrakinto „iPhone“ apsaugą. Kitaip tariant, užpuolikas gali pervesti bet kokią sumą iš aukos sąskaitos, neatrakinęs išmaniojo telefono“, – aiškina mokslininkai. Norėdami įrodyti savo teiginį, ekspertai paskelbė vaizdo įrašą, kuriame parodyta, kaip jie gavo 1000 svarų sterlingų mokėjimą iš užrakinto iPhone, nežinodami jo slaptažodžio. Tam jie panaudojo „Proxmark“ mobilųjį įrenginį, kuris veikė kaip kortelių skaitytuvas, sąveikaujantis su įsivaizduojamos aukos „iPhone“, ir „Android“ įrenginį, kuris veikė kaip mokėjimo terminalas. Remiantis paskelbta infografika, ekspertų metodas veikia pagal principą „Žmogus viduryje“. Ekspertai pastebi, kad šiandien šis pažeidžiamumas vis dar aktualus, todėl vartotojai Apple Atsiskaityti Visa kortelėmis tikrai verta pagalvoti apie šią funkciją.
„Mūsų diskusijos su Apple ir „Visa“ parodė, kad kai dėl įvykio iš dalies kaltos abi pramonės šalys, nė viena nenori prisiimti atsakomybės ir įgyvendinti pakeitimus, todėl vartotojai neribotam laikui lieka pažeidžiami“, – komentavo Andrea Radu iš Birmingamo universiteto.
Taip pat skaitykite:
- Apple „AirTag“ gali būti naudojamas įsilaužimui ir duomenų vagystei
- „Moshi Sette Q“ belaidžio įkrovimo apžvalga su „Moshi Flekto“ priedu Apple Žiūrėti
Tai visi mitai apie iOS saugumą.
Iš esmės aš tai matau taip. Įveskite veiksmų seką į kokį nors programuotoją, kad visą laiką negraužtumėte rankomis, įsidėkite aparatą į krepšį ir važiuokite piko metu, prispaudę krepšį prie mobiliųjų telefonų išorinėse kišenėse. Pelnas! Tik tuo atveju įvertinkite šį komentarą kaip susirūpinusio piliečio pranešimą Kibernetinio saugumo departamentui. ;)