Истраживачи безбедности су открили велики недостатак у Екпресс Трансит на иПхоне-у који омогућава хакерима да украду новац са Виса картице корисника. Кажу да се проблем може лако решити, али ни Аппле ни Виса нису заинтересовани.
Ова мана омогућава иПхоне-ов систем бесконтактног плаћања, дизајниран да га учини лакшим и бржим платити јавни превоз, наплаћивати произвољне трансакције помоћу уређаја који имитира превоз терминал.
Екпресс Трансит на иПхоне-у има велику ману
Екпресс Трансит на иПхоне-у и Аппле Ватцх-у не захтева аутентификацију, за разлику од коришћења Аппле Паи-а у продавници или на мрежи. Он искључује овај процес како би убрзао процес плаћања како корисници не би били заустављени када хватају возове, аутобусе и друге услуге.
Штавише, Аппле Паи такође нема ограничење плаћања, за разлику од бесконтактних кредитних и дебитних картица. Дакле, једноставним коришћењем уређаја који имитира терминал јавног превоза, хакери могу да напуне иПхоне колико год желе само једним додиром.
Истраживачи са универзитета Сурри и Бирмингхам успели су да искористе ову грешку да наплате уплату од 1.000 фунти (отприлике). 1.345 долара) на један иПхоне, упркос томе што је у то време био закључан. Али ради само са Виса картицама.
Они који користе МастерЦард или Америцан Екпресс картицу, које користе додатни процес аутентификације, са Екпресс Трансит-ом сматрају се безбедним.
Експресни превоз мора бити омогућен
Трансакције Екпресс Трансит не могу да се изврше на даљину — нападач мора да буде близу вашег уређаја да би искористио ову ману. Али могуће је да се лажни терминал за плаћање може сакрити у торби, а затим ударити о иПхоне корисника док је у њиховом џепу.
Екпресс Трансит је опциона функција која мора бити омогућена ручно, тако да је ваш уређај рањив само ако сте га активирали и повезали са Виса картицом. Али оно што забрињава је да ни Аппле ни Виса не желе да пронађу решење.
Аппле за проблем криви Виса и рекао Тхе Телеграпх да „Виса не верује да ће се ова врста преваре вероватно догодити у стварном свету с обзиром на постоји више слојева безбедности." Такође је истакнуто да су корисници заштићени Виса нултом одговорношћу политика.
Портпарол Виса-а је инсистирао да су картице повезане са Екпресс Трансит-ом „сигурне“ и да би власници картица „требало да наставе да их користе са поверењем“. Такође су одбацили налазе додајући да су „варијације шема бесконтактних превара проучаване у лабораторијским условима више од једне деценије и да су се показале непрактичним за извршење у великим размерама у стварном свет.”
Ово је другачије
Иако Аппле и Виса изгледају ноншалантно, чини се да постоје ваљани разлози за забринутост власника иПхоне-а. За разлику од других Аппле Паи трансакција, плаћања Екпресс Трансит не морају да буду ауторизована помоћу Фаце ИД-а, Тоуцх ИД-а или лозинке — и нема ограничења колико се може потрошити.
Дакле, сасвим је могуће да хакер може сакрити терминал за плаћање у торби, а затим га држати близу иПхоне-а или Аппле-а несуђене жртве Гледајте у прометном возу или платформи да бисте извршили наплату о којој власник иПхоне-а не зна ништа док не напусти њихов банковни рачун или се појави на изјава.
Једини начин да се ово спречи је да једноставно престанете да користите Виса картице са Екпресс Трансит-ом.