Wyobraź sobie, że Twój iPhone jest w kieszeni, całkowicie zablokowany, a mimo to komuś udaje się wypłacić tysiące dolarów z Twojego portfela cyfrowego bez dotykania ekranu i bez konieczności rozpoznawania twarzy! Może to brzmieć jak scena z filmu science fiction, ale tak naprawdę wydarzyło się to w ramach prawdziwego, choć kontrowersyjnego, eksperymentu. Badacze bezpieczeństwa z uniwersytetów w Surrey i Birmingham przeprowadzili wyrafinowany atak na iPhone'a popularnego YouTubera Marcusa Brownlee (MKBHD), skutecznie wypłacając z jego zablokowanego urządzenia aż 10 000 dolarów.
Szybka sztuczka transportowa
Atak, nagłośniony przez popularny kanał Veritasium, wykorzystuje lukę w zabezpieczeniach trybu Express Transit Mode w Apple Pay. Funkcja ta umożliwia szybkie płatności na stacjach metra i autobusowych bez konieczności odblokowywania iPhone'a ani korzystania z Face ID. Naukowcy znaleźli jednak sposób, aby oszukać telefon, tak aby myślał, że znajduje się przy bramce na stacji, podczas gdy w rzeczywistości jest przy fałszywym czytniku kart.
Wymaga to fizycznego dostępu do urządzenia i specjalistycznego sprzętu. Czytnik NFC podłączony do laptopa służy do przechwycenia połączenia. Identyfikator czytnika NFC jest następnie modyfikowany tak, aby odpowiadał identyfikatorom autoryzowanych terminali, a zebrane dane dotyczące płatności są przesyłane do innego telefonu (skradzionego), który umieszczany jest w pobliżu legalnego czytnika kart, aby dokończyć kradzież.
Dlaczego akurat karty Visa?
Co ciekawe, ta luka działa tylko w przypadku bardzo specyficznej kombinacji: iPhone'a i karty Visa. Okazuje się, że problem nie leży w samym systemie operacyjnym Apple, ale w protokołach bezpieczeństwa Visa służących do obsługi ekspresowych przelewów. Atak nie działa na karty Mastercard ani American Express, ponieważ firmy te stosują różne metody zabezpieczeń, których nie da się oszukać w ten sam sposób.
Użytkownicy urządzeń Samsung i usługi Samsung Pay również są bezpieczni przed tego typu atakami, co oznacza, że Visa i Apple muszą wyjaśnić, kto odpowiada za tę lukę w zabezpieczeniach, która umożliwia ominięcie limitów tradycyjnych transakcji i wypłacanie ogromnych sum, nawet tysięcy dolarów, za jednym razem.
Czy powinieneś martwić się o swoje pieniądze?
W odpowiedzi na ten incydent Apple oświadczyło, że problem dotyczył systemu Visa i że ze względu na złożoność techniczną i wymagany dostęp fizyczny, takie oszustwo jest mało prawdopodobne w świecie rzeczywistym. Visa z kolei podkreśliła, że posiadacze jej kart są chronieni polityką „zerowej odpowiedzialności”, co oznacza, że wszelkie oszukańcze transakcje tego typu można łatwo odzyskać.
Krótko mówiąc, nie powinieneś się martwić
Eksperci uważają, że przeprowadzenie tak dużego ataku na ulicy byłoby niezwykle trudne, ale stanowi to ważne przypomnienie, że technologia, niezależnie od tego, jak bezpieczna, zawsze może zawierać nieoczekiwane luki w zabezpieczeniach. Jeśli masz obawy, najprostszą radą jest unikanie korzystania z karty Visa jako głównego źródła „szybkiego transportu” na iPhonie lub po prostu wyłączenie tej funkcji, jeśli nie korzystasz z obsługiwanego transportu publicznego.
Źródło:
5 recenzji