Sikkerhedsforskere har opdaget en stor fejl i Ekspres transit på iPhone, der giver hackere mulighed for at stjæle penge fra en brugers Visa-kort. De siger, at problemet let kan løses, men hverken Apple eller Visa virker interesserede.
Fejlen gør det muligt for iPhones kontaktløse betalingssystem, designet til at gøre det nemmere og hurtigere at betale for offentlig transport, der skal opkræves vilkårlige transaktioner af en enhed, der efterligner en transport terminal.
Express Transit på iPhone har en stor fejl
Express Transit på iPhone og Apple Watch kræver ingen godkendelse, i modsætning til at bruge Apple Pay i en butik eller online. Det afbryder denne proces for at fremskynde betalingsprocessen, så brugerne ikke bliver holdt op, når de fanger tog, busser og andre tjenester.
Derudover har Apple Pay heller ingen betalingsgrænse, i modsætning til kontaktløse kredit- og betalingskort. Så ved blot at bruge en enhed, der efterligner en offentlig transportterminal, kan hackere oplade en iPhone lige så meget, som de vil, med blot et tryk.
Forskere ved universiteterne i Surry og Birmingham var i stand til at udnytte denne fejl til at opkræve en betaling på £1.000 (ca. $1.345) til én iPhone, selvom den var låst på det tidspunkt. Men det virker kun med Visa-kort.
De, der bruger et MasterCard- eller American Express-kort, som anvender en ekstra godkendelsesproces, med Express Transit, betragtes som sikre.
Express Transit skal være aktiveret
Express Transit-transaktioner kan ikke udføres eksternt - en hacker skal være tæt på din enhed for at drage fordel af denne fejl. Men det er muligt, at en slyngel betalingsterminal kan være gemt inde i en taske og derefter børstet op mod en brugers iPhone, mens den er inde i deres lomme.
Express Transit er en valgfri funktion, der skal aktiveres manuelt, så din enhed er kun sårbar, hvis du har den aktiveret og knyttet til et Visa-kort. Men det, der er bekymrende, er, at hverken Apple eller Visa ser ud til at være villige til at finde en løsning.
Apple giver Visa skylden for problemet og fortalte Telegrafen at “Visa mener ikke, at denne form for svindel sandsynligvis vil finde sted i den virkelige verden givet flere lag af sikkerhed på plads." Det påpegede også, at brugere er beskyttet af Visas nulansvar politik.
En talsmand for Visa insisterede på, at kort forbundet til Express Transit "er sikre", og at kortholdere "bør fortsætte med at bruge dem med tillid." De børstede også resultaterne af ved at tilføje, at "variationer af kontaktløse svindelordninger er blevet undersøgt i laboratoriemiljøer i mere end et årti og har vist sig at være upraktiske at udføre i stor skala i virkeligheden verden."
Dette er anderledes
Selvom Apple og Visa virker nonchalante, ser det ud til, at der er gyldige grunde til, at iPhone-ejere er bekymrede. I modsætning til andre Apple Pay-transaktioner behøver Express Transit-betalinger ikke at være godkendt af Face ID, Touch ID eller en adgangskode - og der er ingen grænse for, hvor meget der kan bruges.
Så det er helt sandsynligt, at en hacker kan skjule en betalingsterminal i en taske og derefter holde den tæt på et intetanende offers iPhone eller Apple Se på et travlt tog eller perron for at foretage en opladning, som iPhone-ejeren ikke ved noget om, før den forlader deres bankkonto eller dukker op på en udmelding.
Den eneste måde at forhindre dette på er simpelthen at stoppe med at bruge Visa-kort med Express Transit.