חוקרים בבריטניה הוכיחו כיצד ניתן לבצע תשלומים גדולים ללא מגע במכשירי אייפון נעולים על ידי ניצול Apple Pay תכונת העברה אקספרס של כאשר מוגדרת עם ויזה.
Express Transit הוא Apple Pay תכונה המאפשרת תשלום ברז-וסע במחסומי כרטיסים, ומבטלת את הצורך באימות באמצעות Face ID, Touch ID או קוד גישה. אין צורך להעיר או לשחרר את המכשיר כדי להשתמש ב-Express Transit.
חוקרי מדעי המחשב מאוניברסיטאות ברמינגהאם וסארי הדגימו ל- BBC כיצד פועלת המתקפה על ידי ניצול חולשה במערכת ללא מגע של Visa באמצעות שימוש בחתיכה קטנה של ציוד רדיו זמין מסחרית, המוצבת ליד הטלפון ומתחזה למחסום כרטיס.
טלפון אנדרואיד המריץ אפליקציה שפותחה על ידי החוקרים משמש להעברת אותות מה- אייפון למסוף תשלום ללא מגע ומשנה את התקשורת כדי להטעות את המסוף להתנהג כאילו ה-iPhone בוטלה ואושר תשלום.
בהדגמת המתקפה, החוקרים ביצעו תשלום ויזה ללא מגע בסך 1,000 פאונד מ-iPhone נעול. המדענים לקחו רק כסף מהחשבונות שלהם. החוקרים אמרו כי טלפון האנדרואיד ומסוף התשלום המשמשים אינם צריכים להיות ליד ה-iPhone של הקורבן. כל עוד יש חיבור לאינטרנט.
אפל אמרה ל- BBC העניין היה בעיה במערכת הוויזה.
אייפון 12 מיני ואייפון 12
'אנו מתייחסים ברצינות רבה לכל איום על אבטחת המשתמשים', אמרה אפל. 'זה חשש למערכת ויזה, אבל ויזה לא מאמינה שסוג זה של הונאה עשוי להתרחש בעולם האמיתי בהתחשב בשכבות האבטחה המרובות. במקרה הבלתי סביר שאכן יתרחש תשלום לא מורשה, ויזה הבהירה שמחזיקי הכרטיס שלהם מוגנים על ידי מדיניות האפס אחריות של ויזה.'
החוקרים אמרו שהמתקפה עשויה להיות הקלה ביותר לפריסה נגד iPhone גנוב, אם כי אין ראיות לכך שהפריצה שימשה בטבע. ויזה אמרה כי התשלומים מאובטחים והתקפות מסוג זה אינן מעשיות מחוץ למעבדה.
האם לאייפד אייר 4 יש זיהוי פנים
'כרטיסי ויזה המחוברים ל-Apple Pay Express Transit מאובטחים, ועל בעלי הכרטיס להמשיך להשתמש בהם בביטחון', אמר דובר ויזה. 'וריאציות של תוכניות הונאה ללא מגע נחקרו במערכות מעבדה במשך יותר מעשור והוכחו כלא מעשיות לביצוע בקנה מידה בעולם האמיתי.'
החוקרים אמרו ל BBC הם פנו לראשונה לאפל ולוויזה עם חששותיהם לפני כמעט שנה, אך למרות שיחות 'שימושיות', הבעיה עדיין לא תוקנה. החוקרים בדקו גם את Express Transit עם מאסטרקארד, אך גילו שהאופן שבו פועלת האבטחה מנעה את המתקפה.
'יש לזה מורכבות טכנית', אמרה ד'ר אנדריאה ראדו, מאוניברסיטת ברמינגהם, שהובילה את המחקר. 'אבל אני מרגיש שהתגמולים מביצוע ההתקפה הם די גבוהים. בעוד כמה שנים אלה עלולים להפוך לנושא אמיתי״.
ד'ר טום צ'ותיה, גם הוא באוניברסיטת ברמינגהם, ייעץ לiPhone משתמשים לבדוק אם יש להם כרטיס ויזה שהוגדר לשימוש ב-Express Transit ואם כן, להשבית אותו. 'אין צורך ב-Apple Pay המשתמשים נמצאים בסכנה, אבל עד שאפל או ויזה יתקנו את זה הם נמצאים בסכנה', אמר.
סיכום קשור: Apple Pay תגיות: ויזה , פורום הקשור לתחבורה ציבורית: Apple Music, Apple Pay/Card, iCloud, Fitness+
רשום פופולרי