Bezpečnostní výzkumníci objevili zásadní chybu Expresní tranzit na iPhone, který umožňuje hackerům ukrást peníze z karty Visa uživatele. Říká se, že problém lze snadno opravit, ale Apple ani Visa nejeví zájem.
Tato chyba umožňuje bezkontaktní platební systém iPhone, který je navržen tak, aby to bylo jednodušší a rychlejší platit za veřejnou dopravu, aby byly zpoplatněny libovolné transakce zařízením, které napodobuje dopravu terminál.
Express Transit na iPhone má velkou chybu
Express Transit na iPhone a Apple Watch nevyžaduje žádné ověřování, na rozdíl od používání Apple Pay v obchodě nebo online. Tento proces vypíná, aby se urychlil platební proces, aby uživatelé nebyli zdržováni při chytání vlaků, autobusů a dalších služeb.
A co víc, Apple Pay také nemá žádný platební limit, na rozdíl od bezkontaktních kreditních a debetních karet. Pouhým použitím zařízení, které napodobuje terminál veřejné dopravy, mohou hackeři nabíjet iPhone, kolik chtějí, pouhým klepnutím.
Výzkumníkům na univerzitách v Surry a Birminghamu se podařilo tuto chybu využít a účtovat si platbu ve výši 1 000 GBP (cca. 1 345 $) na jeden iPhone, přestože byl v té době uzamčen. Funguje to ale pouze s kartami Visa.
Ti, kteří používají karty MasterCard nebo American Express, které využívají další proces ověřování, s Express Transit, jsou považováni za bezpečné.
Musí být povolena expresní doprava
Transakce Express Transit nelze provádět na dálku – útočník musí být blízko vašeho zařízení, aby mohl využít této chyby. Je však možné, že podvodný platební terminál by mohl být schován v tašce a poté přiložen k iPhonu uživatele, když je v kapse.
Express Transit je volitelná funkce, která musí být povolena ručně, takže vaše zařízení je zranitelné pouze v případě, že je máte aktivované a propojené s kartou Visa. Znepokojivé však je, že ani Apple, ani Visa se nezdají být ochotné najít nápravu.
Apple obviňuje z problému společnost Visa a řekl The Telegraph že „Visa se nedomnívá, že tento druh podvodu se pravděpodobně odehrává v reálném světě vzhledem k několik vrstev zabezpečení na místě.” Poukázal také na to, že uživatelé jsou chráněni nulovou odpovědností společnosti Visa politika.
Mluvčí společnosti Visa trval na tom, že karty připojené k Express Transit „jsou bezpečné“ a že držitelé karet „by je měli nadále s důvěrou používat“. Také oprášili nálezy dodal, že „variace bezkontaktních podvodných schémat byly studovány v laboratorních podmínkách po více než deset let a ukázalo se, že je nepraktické provádět v reálném měřítku svět."
Tohle je jiné
I když se Apple a Visa zdají být nonšalantní, zdá se, že existují oprávněné důvody pro obavy vlastníků iPhonů. Na rozdíl od jiných transakcí Apple Pay nemusí být platby Express Transit autorizovány Face ID, Touch ID nebo přístupovým kódem – a neexistuje žádný limit, kolik lze utratit.
Je tedy naprosto pravděpodobné, že by hacker mohl schovat platební terminál do tašky a poté jej držet blízko iPhonu nebo Apple nic netušící oběti. Sledujte v rušném vlaku nebo nástupišti, abyste provedli poplatek, o kterém majitel iPhonu nic neví, dokud neopustí jeho bankovní účet nebo se neobjeví na tvrzení.
Jediným způsobem, jak tomu zabránit, je jednoduše přestat používat karty Visa s Express Transit.