शोधकर्ताओं ने मार्कस ब्राउनली के लॉक किए हुए आईफोन से 10 डॉलर कैसे चुराए?

कल्पना कीजिए कि आपका आईफोन आपकी जेब में है, पूरी तरह से लॉक है, फिर भी कोई स्क्रीन को छुए बिना या चेहरे की पहचान की आवश्यकता के बिना आपके डिजिटल वॉलेट से हजारों डॉलर निकाल लेता है! यह किसी साइंस फिक्शन फिल्म की कहानी जैसा लग सकता है, लेकिन यह वास्तव में एक वास्तविक, हालांकि विवादास्पद, प्रयोग में हुआ है। सरे और बर्मिंघम विश्वविद्यालयों के सुरक्षा शोधकर्ताओं ने लोकप्रिय यूट्यूबर मार्कस ब्राउनली (एमकेबीएचडी) के आईफोन को निशाना बनाकर एक परिष्कृत हमला किया और उनके लॉक डिवाइस से सफलतापूर्वक 10,000 डॉलर निकाल लिए।

तेज़ गति परिवहन की तरकीब

लोकप्रिय वेरिटासियम चैनल द्वारा उजागर किए गए इस हमले में एप्पल पे के एक्सप्रेस ट्रांजिट मोड की खामी का फायदा उठाया गया है। यह फीचर मेट्रो और बस स्टेशनों पर आईफोन को अनलॉक किए बिना या फेस आईडी का इस्तेमाल किए बिना तुरंत भुगतान करने की सुविधा देता है। हालांकि, शोधकर्ताओं ने एक ऐसा तरीका खोज निकाला है जिससे फोन को यह भ्रम होता है कि वह किसी ट्रांजिट स्टेशन के गेट पर है, जबकि असल में वह एक नकली कार्ड रीडर पर होता है।

इसके लिए डिवाइस तक भौतिक पहुंच और विशेष उपकरणों की आवश्यकता होती है। लैपटॉप से ​​जुड़े एनएफसी रीडर का उपयोग कनेक्शन को इंटरसेप्ट करने के लिए किया जाता है। फिर एनएफसी रीडर की आईडी को अधिकृत टर्मिनलों की आईडी से मेल खाने के लिए संशोधित किया जाता है, और एकत्रित भुगतान डेटा को दूसरे फोन (एक संदिग्ध फोन) पर भेजा जाता है, जिसे चोरी को अंजाम देने के लिए एक वैध कार्ड रीडर के पास रखा जाता है।

वीज़ा कार्ड ही क्यों?

इस खामी की सबसे दिलचस्प बात यह है कि यह सिर्फ एक खास कॉम्बिनेशन के साथ ही काम करती है: एक आईफोन और एक वीजा कार्ड। दरअसल, समस्या एप्पल के ऑपरेटिंग सिस्टम में नहीं, बल्कि एक्सप्रेस ट्रांसफर ट्रांजैक्शन को संभालने के लिए वीजा के सुरक्षा प्रोटोकॉल में है। यह हमला मास्टरकार्ड या अमेरिकन एक्सप्रेस कार्ड पर काम नहीं करता क्योंकि ये कंपनियां अलग-अलग सुरक्षा विधियों का इस्तेमाल करती हैं जिन्हें इस तरह से धोखा नहीं दिया जा सकता।

सैमसंग डिवाइस और सैमसंग पे सेवा के उपयोगकर्ता भी इस प्रकार के हमले से सुरक्षित हैं, जिससे वीज़ा और ऐप्पल पर यह स्पष्ट करने की जिम्मेदारी आ जाती है कि इस सुरक्षा खामी के लिए कौन जिम्मेदार है, जो पारंपरिक लेनदेन की सीमाओं को दरकिनार करने और एक ही बार में हजारों डॉलर तक की बड़ी रकम निकालने की अनुमति देती है।

क्या आपको अपने पैसों को लेकर चिंतित होना चाहिए?

इस घटना के जवाब में, एप्पल ने कहा कि समस्या वीज़ा सिस्टम से संबंधित थी और तकनीकी जटिलता और आवश्यक भौतिक पहुँच के कारण वास्तविक दुनिया में इस तरह की धोखाधड़ी होने की संभावना नहीं है। वीज़ा ने अपनी ओर से ज़ोर देकर कहा कि उसके कार्डधारकों को "शून्य दायित्व" नीति द्वारा संरक्षित किया गया है, जिसका अर्थ है कि इस प्रकार के किसी भी धोखाधड़ी वाले लेनदेन की वसूली आसानी से की जा सकती है।

सीधे शब्दों में कहें तो, आपको चिंता नहीं करनी चाहिए।

विशेषज्ञों का मानना ​​है कि सड़क पर इस तरह का बड़े पैमाने पर हमला करना बेहद मुश्किल होगा, लेकिन यह एक महत्वपूर्ण सबक है कि तकनीक, चाहे कितनी भी सुरक्षित क्यों न हो, उसमें हमेशा अप्रत्याशित कमियां हो सकती हैं। यदि आप चिंतित हैं, तो सबसे आसान सलाह यह है कि अपने iPhone पर "फास्ट ट्रांजिट" के लिए वीज़ा कार्ड का प्राथमिक उपयोग करने से बचें, या यदि आप समर्थित सार्वजनिक परिवहन का उपयोग नहीं कर रहे हैं तो इस सुविधा को बंद कर दें।

الم الدر:

macrumors.com