Venmo kļūda ļāva uzbrucējiem izmantot Siri kontu iztukšošanai
Foto: Jim Merithew/Mac kults
Kritisks trūkums ar PayPal piederošo Venmo pakļāva iPhone lietotāju kontus nāvējošam kontam, kas varēja ļaut uzbrucējiem nozagt 2 999,99 USD tikai divu minūšu laikā.
Venmo drošības trūkumu atklāja Salesforce drošības inženieris Mārtiņš Vigo kurš atklāja, ka Siri var izmantot bloķētos iPhone, lai iztukšotu kontu, tikai nosūtot dažas īsziņas.
Pārbaudiet uzlaušanu darbībā:
Uzbrucējam bija tikai jāpasaka Siri nosūtīt īsziņu uz numuru 86753 ar vārdu “START”. Ja ar iPhone ir saistīts Venmo konts, tad uzbrucējs var pieprasīt maksājuma nosūtīšanu. Maksimums, ko varat darīt, ir 299,99 USD par darījumu, bet maksimālais ierobežojums ir 2 999,99 USD nedēļā.
Pēc tam uzbrucējs var iegūt vienreizēju verifikācijas kodu, lūdzot Siri izlasīt īsziņu, un tad ir viegli izvēlēties. Par laimi, Venmo saka, ka viņi problēmu novērsa 18 dienas pēc tam, kad par to ziņoja Vigo, taču fakts, ka šī kļūda vispār pastāv, neliecinās par labu klientiem.