חוקרים מהאוניברסיטאות הבריטיות של ברמינגהאם וסארי גילו פגיעות במערכת התשלום ללא מגע Apple Pay, המאפשר למשוך כל סכום כסף מכרטיס הבנק המקושר אליו ללא צורך בפתיחת האייפון. הניסוי אישר שהשיטה עובדת רק עם כרטיסי בנק של ויזה.
תכונה של המערכת Apple תשלום הוא שהוא מאשר את העסקה רק בתנאים מסוימים. כדי שהתשלום יעבור, על בעל הסמארטפון לעבור אימות ולפתוח את האייפון באחת משלוש דרכים: באמצעות Face ID, Touch ID או סיסמה.
עם זאת, החוקרים גילו כי ההגנה Apple ניתן לעקוף את התשלום באמצעות פונקציית ה-Express Transit המובנית, המאפשרת להעביר כספים מכרטיס ויזה מקושר ללא צורך לפתוח את המכשיר. תכונת ה-Express Transit הוכנסה למערכת Apple שלם בשנת 2019 עקב הצורך הלא נוח לפתוח את הטלפון בכל פעם כדי לשלם עבור נסיעה באותה תחבורה ציבורית.
"בשילוב עם כרטיס ויזה, זה יכול להיות שימושי לעקוף את ההגנה של אייפון נעול. במילים אחרות, התוקף יכול להעביר כל סכום מחשבון הקורבן בלי צורך לפתוח את הסמארטפון", מסבירים החוקרים. כדי להוכיח את דבריהם, מומחים פרסמו סרטון שמראה כיצד הם קיבלו תשלום של 1000 פאונד מאייפון נעול מבלי לדעת את הסיסמה ממנו. לשם כך, הם השתמשו במכשיר נייד Proxmark שפעל כקורא כרטיסים שקיים אינטראקציה עם האייפון של הקורבן הדמיוני Android- מכשיר שפעל כמסוף תשלום. לפי האינפוגרפיקה שפורסמה, שיטת המומחים פועלת על פי עקרון "אדם באמצע". מומחים מציינים שכיום פגיעות זו עדיין רלוונטית, ולכן המשתמשים Apple שלם עם כרטיסי ויזה בהחלט שווה לשקול תכונה זו.
"הדיונים שלנו עם Apple ו-Visa הראו שכאשר שני הצדדים בתעשייה אשמים בחלקם באירוע, אף אחד מהם אינו מוכן לקחת אחריות וליישם שינויים, מה שמותיר את המשתמשים פגיעים ללא הגבלת זמן", הגיבה אנדריאה ראדו מאוניברסיטת ברמינגהם.
קרא גם:
- Apple ניתן להשתמש ב-AirTag לפריצה וגניבת נתונים
- סקירת טעינה אלחוטית של Moshi Sette Q עם תוסף Moshi Flekto עבור Apple שעון
זה כל המיתוסים לגבי אבטחת iOS.
בעיקרון, אני רואה את זה ככה. הכניסו את רצף הפעולות לאיזה מתכנת כדי שלא תפשפשו עם הידיים כל הזמן, תכניסו את המכשיר לתיק ותסעו בשעות העומס, כשהם מצמידים את התיק לטלפונים הניידים בכיסים החיצוניים. רווח! לכל מקרה, אנא שקול את ההערה הזו כהודעה של אזרח מודאג למחלקת אבטחת הסייבר. ;)