Недостатъкът на Venmo позволи на нападателите да използват Siri за източване на акаунти
Снимка: Джим Меритеу/Култът към Mac
Критичен недостатък с притежаваната от PayPal Venmo остави акаунтите на потребителите на iPhone изложени на смъртоносен акаунт, който би могъл да позволи на нападателите да откраднат 2 999,99 долара само за две минути.
Недостатъкът на сигурността на Venmo е открит от инженера по сигурността на Salesforce Мартин Виго който установи, че Siri може да се използва на заключени iPhone за източване на акаунт само чрез изпращане на няколко текстови съобщения.
Вижте хака в действие:
Нападателят трябваше само да каже на Siri да изпрати текстово съобщение до 86753, съдържащо думата „СТАРТ“. Ако iPhone има акаунт във Venmo, свързан с него, нападателят може да поиска да изпрати плащане. Максимумът, който можете да направите, е $ 299.99 на транзакция, с лимит от $ 2,999.99 на седмица.
След това нападателят може да получи еднократния код за потвърждение, като помоли Siri да прочете текстовото съобщение и след това е лесно да избере. За щастие Venmo казва, че са отстранили проблема 18 дни след съобщението от Vigo, но фактът, че недостатъкът изобщо съществува, няма да предвещава нищо на клиентите.