A brit birminghami és surreyi egyetem kutatói sebezhetőséget fedeztek fel az érintés nélküli fizetési rendszerben Apple Fizetés, amely lehetővé teszi, hogy a hozzá kapcsolódó bankkártyáról tetszőleges összeget vegyen fel anélkül, hogy fel kellene oldania az iPhone-t. A kísérlet megerősítette, hogy a módszer csak Visa bankkártyákkal működik.
A rendszer sajátossága Apple A fizetés annyi, hogy csak bizonyos feltételek mellett erősíti meg a tranzakciót. Ahhoz, hogy a fizetés megtörténjen, az okostelefon tulajdonosának hitelesítésen kell átesnie, és háromféle módon fel kell oldania az iPhone zárolását: Face ID, Touch ID vagy jelszó használatával.
A kutatók azonban megállapították, hogy a védelem Apple A fizetés megkerülhető a beépített Express Transit funkcióval, amely lehetővé teszi, hogy az eszköz feloldása nélkül utaljon át pénzt egy összekapcsolt Visa kártyáról. Az Express Transit funkció bekerült a rendszerbe Apple Fizessen 2019-ben, mert kényelmetlenül kell minden alkalommal feloldania a telefont, hogy ugyanazon a tömegközlekedési eszközön fizessen.
„Visa kártyával kombinálva ez hasznos lehet a lezárt iPhone védelmének megkerüléséhez. Más szóval, a támadó bármilyen összeget átutalhat az áldozat számlájáról anélkül, hogy fel kellene oldania az okostelefont” – magyarázzák a kutatók. Szavaik bizonyítására szakértők közzétettek egy videót, amelyen bemutatják, hogyan kaptak 1000 fontot egy lezárt iPhone-ról anélkül, hogy tudták volna a jelszavát. Ehhez egy Proxmark mobileszközt használtak, amely kártyaolvasóként működött, és kapcsolatba került a képzeletbeli áldozat iPhone-jával és Android- fizetési terminálként működő eszköz. A megjelent infografika szerint a szakértők módszere az „Ember a középen” elv szerint működik. A szakértők megjegyzik, hogy ma ez a sérülékenység még mindig releváns, így a felhasználók számára Apple A Visa kártyás fizetést mindenképpen érdemes megfontolni ezt a funkciót.
„Megbeszéléseink vele Apple és a Visa megmutatta, hogy amikor az iparág mindkét fél okolható egy eseményért, egyikük sem hajlandó felelősséget vállalni és változtatásokat végrehajtani, így a felhasználók végtelenségig sebezhetővé válnak” – kommentálta Andrea Radu, a Birminghami Egyetem munkatársa.
Olvassa el még:
Mind Comments
Ez az összes mítosz az iOS biztonságáról.
Alapvetően én így látom. Írd be valamilyen programozóba a műveletsort, hogy ne babrálj folyton a kezeddel, tedd a táskádba a készüléket és vezess a csúcsforgalomban, a táskát a külső zsebekben lévő mobiltelefonokhoz nyomva. Nyereség! Minden esetre kérjük, tekintse ezt a megjegyzést egy aggódó állampolgár üzenetének a Kiberbiztonsági Minisztériumnak. ;)