Výskumníci z britských univerzít v Birminghame a Surrey objavili zraniteľnosť v bezkontaktnom platobnom systéme Apple Pay, ktorý vám umožňuje vybrať ľubovoľnú sumu peňazí z bankovej karty, ktorá je s ňou spojená, bez potreby odomykania iPhone. Experiment potvrdil, že metóda funguje len s bankovými kartami Visa.
Vlastnosť systému Apple Pay je, že potvrdí transakciu len za určitých podmienok. Na to, aby platba prebehla, musí majiteľ smartfónu prejsť autentifikáciou a odomknúť iPhone jedným z troch spôsobov: pomocou Face ID, Touch ID alebo hesla.
Vedci však zistili, že ochrana Apple Platbu je možné obísť pomocou vstavanej funkcie Express Transit, ktorá umožňuje previesť prostriedky z prepojenej karty Visa bez nutnosti odomykania zariadenia. Do systému bola zavedená funkcia Express Transit Apple Plaťte v roku 2019 kvôli nepohodlnej potrebe zakaždým odomknúť telefón, aby ste zaplatili za cestu v tej istej verejnej doprave.
„V kombinácii s kartou Visa to môže byť užitočné na obídenie ochrany uzamknutého iPhonu. Inými slovami, útočník môže previesť akúkoľvek sumu z účtu obete bez toho, aby musel odomknúť smartfón,“ vysvetľujú vedci. Na dôkaz svojich slov experti zverejnili video, na ktorom vidno, ako dostali platbu 1000 XNUMX libier zo zamknutého iPhonu bez toho, aby z neho poznali heslo. Na tento účel použili mobilné zariadenie Proxmark, ktoré fungovalo ako čítačka kariet, ktorá interagovala s iPhone imaginárnej obete a Android- zariadenie, ktoré fungovalo ako platobný terminál. Podľa zverejnenej infografiky metóda odborníkov funguje podľa princípu „Man-in-the-Middle“. Odborníci poznamenávajú, že dnes je táto zraniteľnosť stále aktuálna, takže používatelia Apple Platiť kartami Visa určite stojí za zváženie tejto funkcie.
„Naše diskusie s Apple a Visa ukázali, že keď sú obe strany v tomto odvetví čiastočne vinné za udalosť, ani jedna nie je ochotná prevziať zodpovednosť a implementovať zmeny, čím sú používatelia zraniteľní na neurčito,“ komentovala Andrea Radu z University of Birmingham.
Prečítajte si tiež:
- Apple AirTag možno použiť na hackovanie a krádež údajov
- Recenzia bezdrôtového nabíjania Moshi Sette Q s doplnkom Moshi Flekto pre Apple hodinky
To sú všetky mýty o bezpečnosti iOS.
V podstate to tak vidím. Zadajte postupnosť akcií do nejakého programátora, aby ste stále nešmátrali rukami, vložte zariadenie do tašky a jazdite v dopravnej špičke, pričom tašku tlačíte na mobilné telefóny vo vonkajších vreckách. Zisk! Pre každý prípad považujte tento komentár za správu od dotknutého občana ministerstvu kybernetickej bezpečnosti. ;)