Forskere fra de britiske universitetene i Birmingham og Surrey oppdaget en sårbarhet i det kontaktløse betalingssystemet Apple Pay, som lar deg ta ut et hvilket som helst beløp fra bankkortet som er knyttet til det uten å måtte låse opp iPhone. Eksperimentet bekreftet at metoden bare fungerer med Visa-bankkort.
En funksjon i systemet Apple Pay er at den bekrefter transaksjonen kun under visse betingelser. For at betalingen skal gå gjennom, må eieren av smarttelefonen gjennomgå autentisering og låse opp iPhone på en av tre måter: ved å bruke Face ID, Touch ID eller et passord.
Imidlertid fant forskerne at beskyttelsen Apple Betal kan omgås ved hjelp av den innebygde Express Transit-funksjonen, som lar deg overføre penger fra et tilknyttet Visa-kort uten å måtte låse opp enheten. Express Transit-funksjonen er introdusert i systemet Apple Betal i 2019 på grunn av det ubeleilige behovet for å låse opp telefonen hver gang for å betale for reiser i samme kollektivtransport.
«I kombinasjon med et Visa-kort kan dette være nyttig for å omgå beskyttelsen til en låst iPhone. Med andre ord kan angriperen overføre et hvilket som helst beløp fra offerets konto uten å måtte låse opp smarttelefonen, forklarer forskerne. For å bevise sine ord publiserte eksperter en video som viser hvordan de mottok en betaling på £1000 fra en låst iPhone uten å vite passordet fra den. Til dette brukte de en Proxmark-mobilenhet som fungerte som en kortleser som samhandlet med iPhonen til det imaginære offeret og Android- en enhet som fungerte som betalingsterminal. Ifølge den publiserte infografikken fungerer ekspertenes metode etter «Man-in-the-Middle»-prinsippet. Eksperter merker at i dag er denne sårbarheten fortsatt relevant, så brukere Apple Betal med Visa-kort er definitivt verdt å vurdere denne funksjonen.
«Våre diskusjoner med Apple og Visa har vist at når begge parter i bransjen har en del av skylden for en hendelse, er ingen av dem villige til å ta ansvar og implementere endringer, noe som gjør brukerne sårbare på ubestemt tid," kommenterte Andrea Radu fra University of Birmingham.
Les også:
- Apple AirTag kan brukes til hacking og datatyveri
- Moshi Sette Q Wireless Charging Review med Moshi Flekto Add-on for Apple Se
Det er alle mytene om iOS-sikkerhet.
I utgangspunktet ser jeg det sånn. Legg inn handlingsrekkefølgen i en eller annen programmerer slik at du ikke famler med hendene hele tiden, legg enheten i vesken og kjør i rushtiden, og trykk vesken mot mobiltelefonene i de ytre lommene. Profitt! Bare i tilfelle, betrakt denne kommentaren som en melding fra en bekymret borger til Department of Cyber Security. ;)