חוקרי אבטחה גילו פגם גדול ב אקספרס טרנזיט באייפון המאפשר להאקרים לגנוב כסף מכרטיס ויזה של משתמש. לדבריהם, ניתן לתקן את הבעיה בקלות, אך לא נראה שאפל או ויזה מתעניינים.
הפגם מאפשר את מערכת התשלום ללא מגע של אייפון, שנועדה להקל ומהיר יותר לשלם עבור תחבורה ציבורית, לחייב עסקאות שרירותיות על ידי מכשיר המחקה תחבורה מָסוֹף.
ל-Express Transit באייפון יש פגם גדול
Express Transit באייפון וב-Apple Watch אינו דורש אימות, בניגוד לשימוש ב-Apple Pay בחנות או באינטרנט. זה מפסיק את התהליך הזה כדי להאיץ את תהליך התשלום, כך שהמשתמשים לא יעכבו כשתופסים רכבות, אוטובוסים ושירותים אחרים.
יתרה מכך, ל-Apple Pay גם אין מגבלת תשלום, בניגוד לכרטיסי אשראי וחיוב ללא מגע. לכן, פשוט על ידי שימוש במכשיר המחקה מסוף של תחבורה ציבורית, האקרים יכולים להטעין אייפון כמה שהם רוצים בהקשה בלבד.
חוקרים מאוניברסיטאות סורי וברמינגהם הצליחו לנצל את הפגם הזה כדי לגבות תשלום של 1,000 פאונד (בערך. $1,345) לאייפון אחד, למרות שהוא נעול באותה עת. אבל זה עובד רק עם כרטיסי ויזה.
מי שמשתמש בכרטיס מאסטרקארד או אמריקן אקספרס, שמשתמש בתהליך אימות נוסף, עם אקספרס טרנזיט נחשב בטוח.
יש להפעיל תחבורה אקספרס
לא ניתן לבצע עסקאות Express Transit מרחוק - תוקף צריך להיות קרוב למכשיר שלך כדי לנצל את הפגם הזה. אבל יתכן שמסוף תשלום נוכל יכול להיות מוסתר בתוך שקית ואז להתחכך באייפון של משתמש בזמן שהוא בתוך הכיס שלו.
Express Transit היא תכונה אופציונלית שחייבת להיות מופעלת באופן ידני, כך שהמכשיר שלך פגיע רק אם הפעלת אותו וקישור לכרטיס ויזה. אבל מה שמדאיג הוא שאפל או ויזה לא נראות מוכנות למצוא פתרון.
אפל מאשימה את הבעיה בוויזה ואמרה הטלגרף כי "ויזה לא מאמינה שסוג זה של הונאה עשוי להתרחש בעולם האמיתי בהינתן שכבות מרובות של אבטחה במקום." הוא גם ציין כי המשתמשים מוגנים על ידי החבות האפסית של ויזה מְדִינִיוּת.
דובר מטעם ויזה עמד על כך שהכרטיסים המחוברים ל-Express Transit "מאבטחים" ושבעלי הכרטיס "צריכים להמשיך להשתמש בהם בביטחון". הם גם ביטלו את הממצאים על ידי הוספה כי "וריאציות של תוכניות הונאה ללא מגע נחקרו במערכות מעבדה במשך יותר מעשור והוכחו כלא מעשיות לביצוע בקנה מידה אמיתי עוֹלָם."
זה שונה
בעוד שאפל וויזה נראות נונשלנטיות, נראה שיש סיבות מוצדקות לבעלי אייפון לדאוג. בניגוד לעסקאות אחרות של Apple Pay, תשלומי אקספרס לא צריכים להיות מאושרים על ידי Face ID, Touch ID או קוד גישה - ואין הגבלה על כמה שניתן להוציא.
אז זה סביר לחלוטין שהאקר עלול להסתיר מסוף תשלום בתוך תיק, ואז להחזיק אותו קרוב לאייפון או אפל של קורבן תמימה. צפו ברכבת או רציף עמוסים כדי לבצע חיוב שבעל האייפון לא יודע עליו דבר עד שהוא עוזב את חשבון הבנק שלו או מופיע ב הַצהָרָה.
הדרך היחידה למנוע זאת היא פשוט להפסיק להשתמש בכרטיסי ויזה עם אקספרס טרנזיט.
