سمح خطأ Venmo للمهاجمين باستخدام Siri لاستنزاف الحسابات
خلل فادح في Venmo المملوك لشركة PayPal ترك حسابات مستخدمي iPhone معرضة لحساب قاتل كان من الممكن أن يسمح للمهاجمين بسرقة 2999.99 دولارًا في دقيقتين فقط.
تم اكتشاف الخلل الأمني في Venmo بواسطة مهندس أمن Salesforce مارتن فيجو الذي وجد أنه يمكن استخدام Siri على أجهزة iPhone المقفلة لاستنزاف حساب فقط عن طريق إرسال بعض الرسائل النصية.
تحقق من الاختراق أثناء العمل:
كل ما كان على المهاجم فعله هو إخبار Siri بإرسال رسالة نصية إلى 86753 تحتوي على كلمة "START". إذا كان لدى iPhone حساب Venmo مرتبط به ، فيمكن للمهاجم بعد ذلك طلب إرسال دفعة. الحد الأقصى الذي يمكنك القيام به هو 299.99 دولارًا أمريكيًا لكل معاملة ، بحد أقصى قدره 2،999.99 دولارًا أمريكيًا في الأسبوع.
يمكن للمهاجم بعد ذلك الحصول على رمز التحقق لمرة واحدة عن طريق مطالبة Siri بقراءة الرسالة النصية ومن ثم يصبح الاختيار سهلًا. لحسن الحظ ، يقول Venmo إنهم أصلحوا المشكلة بعد 18 يومًا من الإبلاغ عنها بواسطة Vigo ، لكن حقيقة وجود الخلل على الإطلاق لن تبشر بالخير مع العملاء.