Isipin mong nasa bulsa mo ang iPhone mo, nakakandado nang husto, pero may nakapag-withdraw ng libu-libong dolyar mula sa digital wallet mo nang hindi hinahawakan ang screen o nangangailangan ng facial recognition! Parang galing ito sa isang science fiction movie, pero nangyari talaga ito sa isang tunay, kahit kontrobersyal, na eksperimento. Nagsagawa ang mga security researcher mula sa Unibersidad ng Surrey at Birmingham ng isang sopistikadong pag-atake na tumatarget sa iPhone ng sikat na YouTuber na si Marcus Brownlee (MKBHD), at matagumpay na nakapag-withdraw ng napakalaking $10,000 mula sa kanyang naka-lock na device.
Mabilis na trick sa transportasyon
Ang pag-atake, na itinampok ng sikat na Veritasium channel, ay nagsasamantala sa isang kahinaan sa Express Transit Mode ng Apple Pay. Ang feature na ito ay dinisenyo upang payagan ang mabilis na pagbabayad sa mga istasyon ng subway at bus nang hindi kinakailangang i-unlock ang iyong iPhone o gumamit ng Face ID. Gayunpaman, nakahanap ang mga mananaliksik ng paraan upang linlangin ang telepono na isipin na ito ay nasa gate ng isang istasyon ng transit gayong ito ay nasa isang pekeng card reader.
Nangangailangan ito ng pisikal na pag-access sa device at mga espesyal na kagamitan. Isang NFC reader na nakakonekta sa isang laptop ang ginagamit upang maharang ang koneksyon. Ang ID ng NFC reader ay binabago upang tumugma sa mga ID ng mga awtorisadong terminal, at ang nakolektang data ng pagbabayad ay ipinapadala sa isa pang telepono (isang nakompromisong telepono) na inilalagay malapit sa isang lehitimong card reader upang makumpleto ang pagnanakaw.
Bakit partikular na mga Visa card?
Ang nakakatuwa sa kahinaang ito ay gumagana lamang ito sa isang partikular na kombinasyon: isang iPhone at isang Visa card. Lumalabas na ang problema ay hindi sa operating system mismo ng Apple, kundi sa mga protocol ng seguridad ng Visa para sa paghawak ng mga transaksyon sa express transfer. Ang pag-atake ay hindi gumagana sa mga Mastercard o American Express card dahil ang mga kumpanyang ito ay gumagamit ng iba't ibang mga pamamaraan ng seguridad na hindi maaaring lokohin sa parehong paraan.
Ligtas din ang mga gumagamit ng mga device na Samsung at ng serbisyo ng Samsung Pay mula sa ganitong uri ng pag-atake, na naglalagay sa korte ng Visa at Apple upang linawin kung sino ang responsable para sa kakulangan sa seguridad na ito na nagpapahintulot sa paglampas sa mga limitasyon ng mga tradisyunal na transaksyon at pag-withdraw ng malalaking halaga na hanggang libu-libong dolyar sa isang operasyon lamang.
Dapat ka bang mag-alala tungkol sa iyong pera?
Bilang tugon sa insidenteng ito, sinabi ng Apple na ang isyu ay may kaugnayan sa sistema ng Visa at ang ganitong pandaraya ay malamang na hindi mangyari sa totoong mundo dahil sa teknikal na kasalimuotan at pisikal na pag-access na kinakailangan. Sa bahagi naman ng Visa, binigyang-diin nito na ang mga may hawak ng card nito ay protektado ng isang patakarang "zero liability," ibig sabihin ay madaling mabawi ang anumang mapanlinlang na transaksyon na may ganitong uri.
Sa madaling salita, hindi ka dapat mag-alala
Naniniwala ang mga eksperto na ang pagsasagawa ng ganitong malawakang pag-atake sa kalye ay magiging lubhang mahirap, ngunit nagsisilbi itong mahalagang paalala na ang teknolohiya, gaano man kaligtas, ay maaaring laging maglaman ng mga hindi inaasahang kahinaan. Kung nag-aalala ka, ang pinakasimpleng payo ay iwasan ang paggamit ng Visa card bilang iyong pangunahing mapagkukunan para sa "Fast Transit" sa iyong iPhone, o i-disable na lang ang feature kung hindi ka gumagamit ng sinusuportahang pampublikong transportasyon.
Pinagmulan:
5 mga pagsusuri