უსაფრთხოების მკვლევარებმა აღმოაჩინეს მნიშვნელოვანი ხარვეზი ექსპრეს ტრანზიტი iPhone-ზე, რომელიც ჰაკერებს საშუალებას აძლევს მოიპარონ ფული მომხმარებლის Visa ბარათიდან. ისინი ამბობენ, რომ პრობლემა მარტივად შეიძლება გამოსწორდეს, მაგრამ არც Apple და არც Visa არ ჩანს დაინტერესებული.
ხარვეზი შესაძლებელს ხდის iPhone-ის უკონტაქტო გადახდის სისტემას, რომელიც შექმნილია იმისათვის, რომ ეს უფრო ადვილი და სწრაფი იყოს გადაიხადოს საზოგადოებრივი ტრანსპორტი, გადაიხადოს თვითნებური ტრანზაქციები ტრანსპორტის იმიტაციური მოწყობილობის საშუალებით ტერმინალი.
Express Transit-ს iPhone-ზე აქვს მნიშვნელოვანი ნაკლი
Express Transit-ზე iPhone-სა და Apple Watch-ზე არ საჭიროებს ავთენტიფიკაციას, განსხვავებით Apple Pay-ის გამოყენებით მაღაზიაში ან ონლაინ რეჟიმში. ის წყვეტს ამ პროცესს გადახდის პროცესის დაჩქარების მიზნით, რათა მომხმარებლები არ იყვნენ გაჩერებული მატარებლების, ავტობუსების და სხვა სერვისების დაჭერისას.
უფრო მეტიც, Apple Pay-ს ასევე არ აქვს გადახდის ლიმიტი, უკონტაქტო საკრედიტო და სადებეტო ბარათებისგან განსხვავებით. ასე რომ, მარტივი მოწყობილობის გამოყენებით, რომელიც მიბაძავს საზოგადოებრივი ტრანსპორტის ტერმინალს, ჰაკერებს შეუძლიათ დატენონ iPhone იმდენი, რამდენიც სურთ, მხოლოდ ერთი შეხებით.
სურისა და ბირმინგემის უნივერსიტეტების მკვლევარებმა შეძლეს ამ ხარვეზის გამოყენება 1000 ფუნტის ოდენობით (დაახ. $1,345) ერთ iPhone-ზე, მიუხედავად იმისა, რომ ის იმ დროს დაბლოკილია. მაგრამ ის მუშაობს მხოლოდ Visa ბარათებით.
ისინი, ვინც იყენებენ MasterCard ან American Express ბარათს, რომელიც იყენებს დამატებით ავთენტიფიკაციის პროცესს Express Transit-ით, უსაფრთხოდ ითვლება.
ექსპრეს ტრანზიტი უნდა იყოს ჩართული
Express Transit ტრანზაქციების შესრულება შეუძლებელია დისტანციურად - თავდამსხმელი თქვენს მოწყობილობასთან ახლოს უნდა იყოს, რომ ისარგებლოს ამ ხარვეზით. მაგრამ შესაძლებელია, რომ თაღლითური გადახდის ტერმინალი შეიძლება იყოს დამალული ჩანთაში, შემდეგ კი მომხმარებლის iPhone-ზე, სანამ ის ჯიბეშია.
Express Transit არის არასავალდებულო ფუნქცია, რომელიც უნდა ჩართოთ ხელით, ამიტომ თქვენი მოწყობილობა დაუცველია მხოლოდ იმ შემთხვევაში, თუ ის გააქტიურებულია და მიბმული გაქვთ Visa ბარათთან. მაგრამ რაც შემაშფოთებელია ის არის, რომ არც Apple და არც Visa არ სურთ გამოსწორების პოვნა.
Apple პრობლემას Visa-ს აბრალებს და განუცხადა ტელეგრაფი რომ „ვიზას არ სჯერა, რომ ამ სახის თაღლითობა სავარაუდოდ მოხდება რეალურ სამყაროში უსაფრთხოების მრავალი ფენა ადგილზეა“. მან ასევე აღნიშნა, რომ მომხმარებლები დაცული არიან Visa-ს ნულოვანი პასუხისმგებლობით პოლიტიკა.
Visa-ს სპიკერი ამტკიცებდა, რომ Express Transit-თან დაკავშირებული ბარათები "უსაფრთხოა" და რომ ბარათის მფლობელებმა "უნდა განაგრძონ მათი გამოყენება თავდაჯერებულად". მათ ასევე ამოიღეს აღმოჩენები და დასძინა, რომ „უკონტაქტო თაღლითობის სქემების ვარიაციები შესწავლილი იქნა ლაბორატორიულ პირობებში ათწლეულზე მეტი ხნის განმავლობაში და დადასტურდა, რომ არაპრაქტიკული იყო რეალური მასშტაბით შესრულება. სამყარო.”
ეს განსხვავებულია
მიუხედავად იმისა, რომ Apple და Visa არაჩვეულებრივად გამოიყურება, როგორც ჩანს, iPhone-ის მფლობელების შეშფოთების საფუძველი არსებობს. Apple Pay-ის სხვა ტრანზაქციებისგან განსხვავებით, Express Transit გადახდებს არ სჭირდება ავტორიზაცია Face ID-ით, Touch ID-ით ან პაროლით — და არ არსებობს შეზღუდვა რამდენის დახარჯვაზე.
ასე რომ, სავსებით დამაჯერებელია, რომ ჰაკერმა შეიძლება დამალოს გადახდის ტერმინალი ჩანთაში და შემდეგ მიიტანოს იგი დაუსაბუთებელი მსხვერპლის iPhone-თან ან Apple-თან. უყურეთ დატვირთულ მატარებელზე ან პლატფორმაზე, რათა განახორციელოთ გადასახადი, რომლის შესახებაც iPhone-ის მფლობელმა არაფერი იცის, სანამ არ დატოვებს მის საბანკო ანგარიშს ან არ გამოჩნდება განცხადება.
ამის თავიდან აცილების ერთადერთი გზაა უბრალოდ შეწყვიტოთ Visa ბარათების გამოყენება Express Transit-ით.