Cercetătorii de la universitățile britanice din Birmingham și Surrey au descoperit o vulnerabilitate în sistemul de plată contactless Apple Pay, care vă permite să retrageți orice sumă de bani de pe cardul bancar asociat acestuia fără a fi nevoie să deblocați iPhone-ul. Experimentul a confirmat că metoda funcționează doar cu cardurile bancare Visa.
O caracteristică a sistemului Apple Plata este că confirmă tranzacția doar în anumite condiții. Pentru ca plata să poată fi efectuată, proprietarul smartphone-ului trebuie să se autentifice și să deblocheze iPhone-ul într-unul din trei moduri: folosind Face ID, Touch ID sau o parolă.
Cu toate acestea, cercetătorii au descoperit că protecția Apple Plata poate fi ocolită folosind funcția de tranzit expres încorporată, care vă permite să transferați fonduri de pe un card Visa conectat fără a fi nevoie să deblocați dispozitivul. Funcția de transport rapid a fost introdusă în sistem Apple Plătiți în 2019 din cauza necesității incomode de a debloca telefonul de fiecare dată pentru a plăti călătoria în același transport public.
„În combinație cu un card Visa, acest lucru poate fi util pentru a ocoli protecția unui iPhone blocat. Cu alte cuvinte, atacatorul poate transfera orice sumă din contul victimei fără a fi nevoie să deblocheze smartphone-ul”, explică cercetătorii. Pentru a-și dovedi cuvintele, experții au publicat un videoclip care arată cum au primit o plată de 1000 de lire sterline de la un iPhone blocat fără să cunoască parola de la acesta. Pentru aceasta, au folosit un dispozitiv mobil Proxmark care a acționat ca un cititor de carduri care a interacționat cu iPhone-ul victimei imaginare și Android- un dispozitiv care a acționat ca un terminal de plată. Potrivit infograficului publicat, metoda experților funcționează după principiul „Man-in-the-Middle”. Experții notează că astăzi această vulnerabilitate este încă relevantă, deci utilizatorii Apple Plata cu cardurile Visa merită cu siguranță să luați în considerare această funcție.
„Discuțiile noastre cu Apple și Visa au arătat că, atunci când ambele părți din industrie sunt parțial vinovate pentru un eveniment, niciuna nu este dispusă să își asume responsabilitatea și să implementeze schimbări, lăsând utilizatorii vulnerabili pe termen nelimitat”, a comentat Andrea Radu de la Universitatea din Birmingham.
Citeste si:
- Apple AirTag poate fi folosit pentru hacking și furt de date
- Revizuirea încărcării fără fir Moshi Sette Q cu suplimentul Moshi Flekto pt Apple Ceas
Acestea sunt toate miturile despre securitatea iOS.
Practic, eu văd așa. Introduceți secvența de acțiuni într-un programator, astfel încât să nu vă băgați cu mâinile tot timpul, puneți dispozitivul în geantă și conduceți în timpul orelor de vârf, apăsând geanta de telefoanele mobile din buzunarele exterioare. Profit! Pentru orice eventualitate, vă rugăm să luați în considerare acest comentariu ca pe un mesaj de la un cetățean îngrijorat către Departamentul de Securitate Cibernetică. ;)