פגם Venmo אפשר לתוקפים להשתמש בסירי כדי לנקז חשבונות
צילום: ג'ים מרית'יו/פולחן מק
פגם קריטי עם Venmo שבבעלות PayPal השאיר חשבונות משתמשי iPhone חשופים לחשבון קטלני שיכול היה לאפשר לתוקפים לגנוב 2,999.99 דולר תוך שתי דקות בלבד.
פגם האבטחה Venmo התגלה על ידי מהנדס האבטחה של Salesforce מרטין ויגו שמצא כי ניתן להשתמש ב- Siri במכשירי iPhone נעולים כדי לנקז חשבון רק על ידי שליחת כמה הודעות טקסט.
בדוק את הפריצה בפעולה:
כל שתוקף היה צריך לעשות היה להגיד לסירי לשלוח הודעת טקסט ל- 86753 המכילה את המילה "START". אם לאייפון יש חשבון Venmo המשויך אליו, התוקף יכול לבקש לשלוח תשלום. המקסימום שאתה יכול לעשות הוא $ 299.99 לכל עסקה, עם מגבלה של $ 2,999.99 לשבוע.
התוקף יכול לאחר מכן לקבל את קוד האימות החד-פעמי על ידי כך שיבקש מסירי לקרוא את הודעת הטקסט ואז הבחירות קלות. למרבה המזל, Venmo אומר שהם פתרו את הבעיה 18 ימים לאחר דיווחה על ידי ויגו, אך העובדה שהליקוי קיים כלל לא תנבא טוב עם הלקוחות.