Venmo -fel tillät angripare att använda Siri för att tömma konton
Foto: Jim Merithew/Cult of Mac
En kritisk brist med PayPal-ägda Venmo lämnade iPhone-användares konton utsatta för ett dödligt konto som kunde ha gjort det möjligt för angripare att stjäla 2999,99 dollar på bara två minuter.
Säkerhetsfelet i Venmo upptäcktes av Salesforce säkerhetsingenjör Martin Vigo som fann att Siri kan användas på låsta iPhones för att tömma ett konto bara genom att skicka några textmeddelanden.
Kolla in hacket i aktion:
Allt en angripare behövde göra var att säga till Siri att skicka ett textmeddelande till 86753 med ordet "START". Om iPhone har ett Venmo -konto kopplat till det kan angriparen sedan begära att skicka en betalning. Det högsta du kan göra är $ 299,99 per transaktion, med en gräns på $ 2,999,99 per vecka.
Angriparen kan sedan få en engångskontrollkod genom att be Siri läsa textmeddelandet och sedan är det enkelt att välja. Lyckligtvis säger Venmo att de har åtgärdat problemet 18 dagar efter det att det rapporterades av Vigo, men det faktum att felet överhuvudtaget inte lovar kunderna.