Raziskovalci z britanskih univerz Birmingham in Surrey odkrili ranljivost v sistemu brezstičnega plačevanja Apple Plačilo, ki vam omogoča dvig poljubne vsote denarja z bančne kartice, ki je z njo povezana, ne da bi morali odkleniti iPhone. Eksperiment je potrdil, da metoda deluje le z bančnimi karticami Visa.
Značilnost sistema Apple Plačilo je, da potrdi transakcijo le pod določenimi pogoji. Da bi plačilo potekalo, mora lastnik pametnega telefona opraviti avtentikacijo in odkleniti iPhone na enega od treh načinov: z uporabo Face ID-ja, Touch ID-ja ali gesla.
Vendar pa so raziskovalci ugotovili, da zaščita Apple Plačilo je mogoče zaobiti z vgrajeno funkcijo Express Transit, ki vam omogoča prenos sredstev s povezane kartice Visa, ne da bi morali odkleniti napravo. Funkcija Express Transit je bila uvedena v sistem Apple Plačajte v letu 2019 zaradi neprijetne potrebe po vsakem odklepanju telefona za plačilo potovanja v istem javnem prevozu.
»V kombinaciji s kartico Visa je to lahko koristno za izogibanje zaščiti zaklenjenega iPhona. Z drugimi besedami, napadalec lahko nakaže poljuben znesek z žrtvinega računa, ne da bi moral odkleniti pametni telefon,« pojasnjujejo raziskovalci. Da bi dokazali svoje stališče, so strokovnjaki objavili videoposnetek, ki prikazuje, kako so prejeli plačilo v višini 1000 funtov z zaklenjenega iPhona, ne da bi vedeli njegovo geslo. Za to so uporabili mobilno napravo Proxmark, ki je delovala kot čitalnik kartic, ki je komuniciral z iPhonom namišljene žrtve in Android- naprava, ki je delovala kot plačilni terminal. Kot izhaja iz objavljene infografike, metoda strokovnjakov deluje po principu »Človek v sredini«. Strokovnjaki ugotavljajo, da je danes ta ranljivost še vedno pomembna, zato uporabniki Apple Plačevanje s karticami Visa je vsekakor vredno razmisliti o tej funkciji.
"Naši pogovori z Apple in Visa sta pokazali, da ko sta obe strani v panogi delno krivi za dogodek, nobena ni pripravljena prevzeti odgovornosti in izvesti sprememb, zaradi česar so uporabniki ranljivi za nedoločen čas,« je komentirala Andrea Radu z univerze v Birminghamu.
Preberite tudi:
- Apple AirTag se lahko uporablja za hekanje in krajo podatkov
- Pregled brezžičnega polnjenja Moshi Sette Q z dodatkom Moshi Flekto za Apple Watch
To so vsi miti o varnosti sistema iOS.
V bistvu jaz to tako vidim. Vnesite zaporedje dejanj v kakšen programator, da ne boste ves čas brskali z rokami, pospravite napravo v torbo in se v prometni konici vozite ter torbo pritiskajte na mobilne telefone v zunanjih žepih. Dobiček! Za vsak slučaj upoštevajte ta komentar kot sporočilo zaskrbljenega državljana Ministrstvu za kibernetsko varnost. ;)