Pētnieki no Lielbritānijas Birmingemas un Surejas universitātēm atklāja ievainojamību bezkontakta maksājumu sistēmā Apple Pay, kas ļauj izņemt jebkuru naudas summu no tai piesaistītās bankas kartes bez nepieciešamības atbloķēt iPhone. Eksperiments apstiprināja, ka metode darbojas tikai ar Visa bankas kartēm.
Sistēmas iezīme Apple Maksājums ir tāds, ka tas apstiprina darījumu tikai ar noteiktiem nosacījumiem. Lai maksājums tiktu veikts, viedtālruņa īpašniekam ir jāveic autentifikācija un iPhone atbloķēšana vienā no trim veidiem: izmantojot Face ID, Touch ID vai paroli.
Tomēr pētnieki atklāja, ka aizsardzība Apple Maksājumu var apiet, izmantojot iebūvēto Express Transit funkciju, kas ļauj pārskaitīt līdzekļus no piesaistītas Visa kartes, neatbloķējot ierīci. Sistēmā ir ieviesta Express Transit funkcija Apple Maksājiet 2019. gadā sakarā ar neērto nepieciešamību katru reizi atbloķēt tālruni, lai samaksātu par braucienu tajā pašā sabiedriskajā transportā.
“Kopā ar Visa karti tas var būt noderīgi, lai apietu bloķēta iPhone aizsardzību. Citiem vārdiem sakot, uzbrucējs var pārskaitīt jebkuru summu no upura konta, neatbloķējot viedtālruni,» skaidro pētnieki. Lai pierādītu savus vārdus, eksperti publicēja video, kurā redzams, kā viņi saņēma maksājumu 1000 mārciņu apmērā no bloķēta iPhone, nezinot paroli no tā. Šim nolūkam viņi izmantoja Proxmark mobilo ierīci, kas darbojās kā karšu lasītājs, kas mijiedarbojās ar iedomātā upura iPhone tālruni un Android- ierīce, kas darbojās kā maksājumu terminālis. Kā liecina publicētā infografika, ekspertu metode darbojas pēc “Man-in-the-Middle” principa. Eksperti atzīmē, ka šodien šī ievainojamība joprojām ir aktuāla, tāpēc lietotāji Apple Maksāt ar Visa kartēm noteikti ir vērts apsvērt šo iespēju.
"Mūsu diskusijas ar Apple un Visa ir parādījuši, ka tad, ja abas nozares puses ir daļēji vainojamas kādā notikumā, neviena nevēlas uzņemties atbildību un ieviest izmaiņas, atstājot lietotājus neaizsargātus uz nenoteiktu laiku," komentēja Andrea Radu no Birmingemas universitātes.
Lasi arī:
Skatīt komentārus
Tas ir visi mīti par iOS drošību.
Būtībā es to tā redzu. Ievadiet darbību secību kaut kādā programmētājā, lai visu laiku nebēdājiet ar rokām, ielieciet ierīci somā un brauciet sastrēgumstundā, piespiežot somu pie mobilajiem tālruņiem ārējās kabatās. Peļņa! Katram gadījumam, lūdzu, uzskatiet šo komentāru kā satraukta pilsoņa ziņojumu Kiberdrošības departamentam. ;)