Venmo -feil tillot angripere å bruke Siri for å tømme kontoer
Foto: Jim Merithew/Cult of Mac
En kritisk feil med PayPal-eide Venmo etterlot iPhone-brukeres kontoer utsatt for en dødelig konto som kunne ha tillatt angriperne å stjele 2999,99 dollar på bare to minutter.
Sikkerhetsfeilen i Venmo ble oppdaget av Salesforce sikkerhetsingeniør Martin Vigo som fant ut at Siri kan brukes på låste iPhones for å tømme en konto bare ved å sende noen tekstmeldinger.
Sjekk hacken i aksjon:
Alt en angriper måtte gjøre var å be Siri om å sende en tekstmelding til 86753 som inneholdt ordet "START". Hvis iPhone har en Venmo -konto tilknyttet den, kan angriperen deretter be om å sende en betaling. Maksimumet du kan gjøre er $ 299,99 per transaksjon, med en grense på $ 2,999,99 per uke.
Angriperen kan deretter få engangskontrollkoden ved å be Siri lese tekstmeldingen, og så er det enkle valg. Heldigvis sier Venmo at de løste problemet 18 dager etter at det ble rapportert av Vigo, men det faktum at feilen eksisterte i det hele tatt, lover ikke godt for kundene.
