Ipinakita ng mga mananaliksik sa U.K. kung gaano kalaki ang hindi awtorisadong mga contactless na pagbabayad sa mga naka-lock na iPhone sa pamamagitan ng pagsasamantala Apple Pay Ang tampok na Express Transit kapag naka-set up sa Visa.
Ang Express Transit ay isang Apple Pay feature na nagbibigay-daan para sa tap-and-go na pagbabayad sa mga hadlang sa ticket, na inaalis ang pangangailangang mag-authenticate gamit ang Face ID, Touch ID , o isang passcode. Hindi kailangang gisingin o i-unlock ang device para magamit ang Express Transit.
Ipinakita ng mga mananaliksik ng Computer Science mula sa Birmingham at Surrey Universities sa BBC kung paano gumagana ang pag-atake sa pamamagitan ng pagsasamantala sa isang kahinaan sa Visa contactless system sa pamamagitan ng paggamit ng isang maliit na piraso ng komersyal na magagamit na kagamitan sa radyo, na inilalagay malapit sa telepono at nagpapanggap bilang isang hadlang sa tiket.
Ang isang Android phone na nagpapatakbo ng isang app na binuo ng mga mananaliksik ay ginagamit upang maghatid ng mga signal mula sa iPhone sa isang contactless na terminal ng pagbabayad at binabago ang mga komunikasyon upang lokohin ang terminal na kumilos na parang ang iPhone ay na-unlock at pinahintulutan ang pagbabayad.
Sa pagpapakita ng pag-atake, ang mga mananaliksik ay gumawa ng contactless Visa na bayad na £1,000 mula sa isang naka-lock na iPhone. Ang mga siyentipiko ay kumuha lamang ng pera mula sa kanilang sariling mga account. Sinabi ng mga mananaliksik na ang Android phone at terminal ng pagbabayad na ginamit ay hindi kailangang malapit sa iPhone basta may internet connection.
Sinabi ni Apple sa BBC ang bagay ay isang isyu sa sistema ng Visa.
kailan po ipapalabas ang next iphone
'Sineseryoso namin ang anumang banta sa seguridad ng mga gumagamit,' sabi ng Apple. 'Ito ay isang alalahanin sa isang sistema ng Visa ngunit hindi naniniwala ang Visa na ang ganitong uri ng pandaraya ay malamang na magaganap sa totoong mundo dahil sa maraming mga layer ng seguridad sa lugar. Kung sakaling mangyari ang hindi awtorisadong pagbabayad, nilinaw ng Visa na ang kanilang mga cardholder ay protektado ng zero liability policy ng Visa.'
Sinabi ng mga mananaliksik na ang pag-atake ay maaaring pinakamadaling i-deploy laban sa isang ninakaw na iPhone, bagama't walang ebidensya na ang hack ay ginamit sa ligaw. Sinabi ni Visa na ang mga pagbabayad ay ligtas at ang mga pag-atake ng ganitong uri ay hindi praktikal sa labas ng isang lab.
bakit masakit sa tenga ang airpods
'Ang mga visa card na konektado sa Apple Pay Express Transit ay secure, at dapat na patuloy na gamitin ng mga cardholder ang mga ito nang may kumpiyansa,' sabi ng isang tagapagsalita ng Visa. 'Ang mga pagkakaiba-iba ng mga pamamaraan ng panloloko na walang kontak ay pinag-aralan sa mga setting ng laboratoryo nang higit sa isang dekada at napatunayang hindi praktikal na maisakatuparan sa sukat sa totoong mundo.'
Sinabi ng mga mananaliksik sa BBC una nilang nilapitan ang Apple at Visa sa kanilang mga alalahanin halos isang taon na ang nakalipas, ngunit sa kabila ng 'kapaki-pakinabang' na pag-uusap, ang problema ay hindi pa naaayos. Sinubukan din ng mga mananaliksik ang Express Transit gamit ang Mastercard ngunit nalaman na ang paraan ng seguridad nito ay pumipigil sa pag-atake.
'Ito ay may ilang teknikal na kumplikado,' sabi ni Dr Andreea Radu, ng Unibersidad ng Birmingham, na nanguna sa pananaliksik. 'Ngunit pakiramdam ko ang mga gantimpala mula sa paggawa ng pag-atake ay medyo mataas. Sa loob ng ilang taon ay maaaring maging isang tunay na isyu ang mga ito.'
Pinayuhan ni Dr Tom Chothia, din sa Unibersidad ng Birmingham, ang iPhone ang mga user upang tingnan kung mayroon silang Visa card na naka-set up na gumamit ng Express Transit at kung gayon, i-disable ito. 'Hindi na kailangan para sa Apple Pay ang mga gumagamit ay nasa panganib, ngunit hangga't hindi ito naaayos ng Apple o Visa, sila ay nasa panganib,' aniya.
Kaugnay na Roundup: Apple Pay Mga Tag: Visa , Express Transit Related Forum: Apple Music, Apple Pay/Card, iCloud, Fitness+
Patok Na Mga Post