Ison-Britannian tutkijat ovat osoittaneet, kuinka suuria luvattomia lähimaksuja voidaan suorittaa lukituilla iPhone-puhelimilla hyödyntämällä Apple Pay Express Transit -ominaisuus, kun se on määritetty Visan kanssa.
Express Transit on Apple Pay ominaisuus, joka mahdollistaa napauttamalla maksamisen lippuesteissä, jolloin ei tarvitse todentaa Face ID:llä, Touch ID:llä tai pääsykoodilla. Laitetta ei tarvitse herättää tai avata Express Transitin käyttöä varten.
Tietojenkäsittelytieteen tutkijat Birminghamin ja Surreyn yliopistoista osoittivat BBC miten hyökkäys toimii hyödyntämällä Visan kontaktittoman järjestelmän heikkoutta käyttämällä pientä kaupallisesti saatavilla olevaa radiolaitetta, joka sijoitetaan puhelimen lähelle ja naamioituu lipun esteeksi.
Android-puhelinta, jossa on tutkijoiden kehittämä sovellus, käytetään välittämään signaaleja iPhone kontaktittomaan maksupäätteeseen ja muuttaa viestintää huijatakseen päätelaitteen toimimaan ikään kuin iPhone on avattu ja maksu valtuutettu.
Hyökkäystä esitellessä tutkijat suorittivat 1 000 punnan lähimaksun Visa-maksulla lukitusta iPhonesta. Tiedemiehet ottivat rahaa vain omista tileistään. Tutkijoiden mukaan käytetyn Android-puhelimen ja maksupäätteen ei tarvitse olla lähellä uhrin iPhonea kunhan on nettiyhteys.
Apple kertoi BBC asia oli Visa-järjestelmän ongelma.
kuinka tyhjentää google mapsin historia
'Suhtaudumme kaikkiin käyttäjien turvallisuuteen kohdistuviin uhkiin erittäin vakavasti', Apple sanoi. 'Tämä on ongelma Visa-järjestelmässä, mutta Visa ei usko, että tällaisia petoksia todennäköisesti tapahtuu todellisessa maailmassa, koska käytössä on useita turvallisuustasoja. Siinä epätodennäköisessä tapauksessa, että luvaton maksu tapahtuu, Visa on tehnyt selväksi, että heidän korttinsa haltijoita suojaa Visan nollavastuupolitiikka.
Tutkijat sanoivat, että hyökkäys saattaa olla helpoin toteuttaa varastettua iPhonea vastaan, vaikkakaan ei ole todisteita siitä, että hakkerointia olisi käytetty luonnossa. Visa sanoi, että maksut olivat turvallisia ja tämän tyyppiset hyökkäykset olivat epäkäytännöllisiä laboratorion ulkopuolella.
ero iphone 12 pron ja 12 pron välillä max
'Apple Pay Express Transitiin yhdistetyt Visa-kortit ovat turvallisia, ja kortinhaltijoiden tulee jatkaa niiden käyttöä luottavaisin mielin', Visan tiedottaja sanoi. 'Kosketittomien petosjärjestelmien muunnelmia on tutkittu laboratorioissa yli vuosikymmenen ajan, ja ne ovat osoittautuneet epäkäytännöllisiksi toteuttaa suuressa mittakaavassa todellisessa maailmassa.'
Tutkijat kertoivat BBC he ottivat ensimmäisen kerran yhteyttä Appleen ja Visaan huolissaan lähes vuosi sitten, mutta 'hyödyllisistä' keskusteluista huolimatta ongelmaa ei ole vielä korjattu. Tutkijat testasivat myös Express Transitia Mastercardilla, mutta havaitsivat, että sen suojaus esti hyökkäyksen.
'Se on teknisesti monimutkainen', sanoi tutkimusta johtanut tohtori Andreea Radu Birminghamin yliopistosta. – Uskon kuitenkin, että hyökkäyksestä saatavat palkinnot ovat melko korkeat. Muutaman vuoden kuluttua niistä voi tulla todellinen ongelma.
Tri Tom Chothia, myös Birminghamin yliopistosta, neuvoi iPhone käyttäjät voivat tarkistaa, onko heillä Visa-kortti asetettu käyttämään Express Transitia, ja jos on, poista se käytöstä. 'Ei tarvita Apple Payta käyttäjät ovat vaarassa, mutta ennen kuin Apple tai Visa korjaa tämän, he ovat', hän sanoi.
Aiheeseen liittyvä tiivistelmä: Apple Pay Tunnisteet: Visa , Express Transit Foorumi: Apple Music, Apple Pay/Card, iCloud, Fitness+
Suosittu Viestiä