تخيل أنك تضع آي-فون الخاص بك في جيبك، وهو مقفل تماماً، ومع ذلك يتمكن شخص ما من سحب آلاف الدولارات من محفظتك الإلكترونية دون أن يلمس الشاشة أو يطلب منك بصمة الوجه! قد يبدو هذا مشهداً من أفلام الخيال العلمي، لكنه حدث بالفعل في تجربة حية ومثيرة للجدل. قام باحثون أمنيون من جامعتي ساري وبرمنغهام بتنفيذ هجوم معقد استهدف آي-فون اليوتيوبر الشهير ماركوس براونلي (MKBHD)، وتمكنوا من سحب مبلغ ضخم قدره 10,000 دولار من جهازه وهو في حالة القفل.
خدعة النمط السريع للنقل
الهجوم الذي سلطت عليه الضوء قناة Veritasium الشهيرة، يعتمد على ثغرة تقنية تتعلق بميزة “النمط السريع للنقل” (Express Transit Mode) في خدمة آبل باي. هذه الميزة مصممة لتسمح لك بالدفع في محطات المترو والحافلات بسرعة دون الحاجة لفتح قفل الآي-فون أو استخدام Face ID. لكن الباحثين وجدوا طريقة لخداع الهاتف وجعله يعتقد أنه موجود أمام بوابة مرور في محطة نقل، بينما هو في الحقيقة أمام قارئ بطاقات وهمي.
يتطلب الأمر وصولاً فيزيائياً للجهاز ومعدات متخصصة، حيث يتم استخدام قارئ NFC متصل بجهاز كمبيوتر محمول لاعتراض الاتصال. يتم تعديل معرف قارئ الـ NFC ليتطابق مع معرفات محطات النقل المعتمدة، ثم يتم إرسال بيانات الدفع المجمعة إلى هاتف آخر (هاتف محرق) يتم تقريبه من قارئ بطاقات شرعي لإتمام عملية السرقة.
لماذا بطاقات فيزا (Visa) تحديداً؟
المثير للاهتمام في هذه الثغرة أنها لا تعمل إلا مع مزيج محدد جداً: آي-فون وبطاقة فيزا. اتضح أن المشكلة ليست في نظام تشغيل آبل بحد ذاته، بل في بروتوكولات الأمان الخاصة بشركة فيزا عند التعامل مع معاملات النقل السريع. الهجوم لا ينجح مع بطاقات ماستركارد أو أمريكان إكسبريس، لأن هذه الشركات تستخدم أساليب أمنية مختلفة لا يمكن خداعها بنفس الطريقة.
كما أن مستخدمي أجهزة سامسونج وخدمة Samsung Pay في أمان من هذا النوع من الهجمات، مما يضع الكرة في ملعب فيزا وآبل لتوضيح من المسؤول عن هذه الفجوة الأمنية التي تسمح بتجاوز حدود المعاملات التقليدية وسحب مبالغ ضخمة تصل لآلاف الدولارات في عملية واحدة.
هل يجب أن تشعر بالقلق على أموالك؟
رداً على هذه التجربة، صرحت شركة آبل بأن المشكلة تتعلق بنظام فيزا، وأنه من غير المرجح أن يحدث مثل هذا النوع من الاحتيال في العالم الحقيقي نظراً للتعقيد التقني المطلوب والوصول الجسدي للجهاز. من جهتها، أكدت شركة فيزا أن حاملي بطاقاتها محميون بسياسة “صفر مسؤولية”، مما يعني أن أي معاملات احتيالية من هذا النوع يمكن استرداد مبالغها بسهولة.
ببساطة يجب أن لا تقلق
ويرى الخبراء أن تنفيذ هذا الهجوم على نطاق واسع في الشارع أمر صعب جداً، لكنه يظل تذكيراً مهماً بأن التكنولوجيا، مهما بلغت درجة أمانها، قد تحتوي دائماً على ثغرات غير متوقعة. إذا كنت تشعر بالقلق، فإن النصيحة الأبسط هي عدم استخدام بطاقة فيزا كمصدر أساسي لـ “النمط السريع للنقل” على آي-فون الخاص بك، أو ببساطة إيقاف الميزة إذا كنت لا تستخدم المواصلات العامة التي تدعمها.
المصدر:
5 تعليق