Aggasztó felfedezés
A kutatók egy évvel ezelőtt keresték fel a két vállalatot a szóban forgó biztonsági réssel kapcsolatban, de érdemi lépéseket még egyik cég sem tett. Mégpedig azért, mert véleményük szerint olyan kockázatról van szó, amely nem veszélyezteti a felhasználókat, ugyanis túl bonyolult kivitelezni a bűncselekményt. Az Apple szerint a Visa-nál van a probléma, a Visa viszont azt mondja, teljesen biztonságos a szoftvere.
Az Apple Express Transit nevű alkalmazása érintett a problémában, amellyel menetjegyet és bérletet lehet vásárolni anélkül, hogy feloldanánk az iPhone készülékünket. Célja, hogy a felhasználók a tömegközlekedéssel kapcsolatos vásárlásaikat villámgyorsan intézhessék. A kutatók egy videóban, „labor körülmények" között demonstrálták a sebezhetőséget.
Bonyolult módszer
A kutatók a saját készülékeik és kártyáik segítségével mutatták be, hogyan lehet meghackelni a telefonokat, amelynek során 1000 fontot loptak el saját maguktól.
Nagyon leegyszerűsítve - és sok részletet szándékosan kihagyva - a támadás így működik:
- egy apró, kereskedelemben is kapható rádiókészüléket helyeznek el az iPhone közelében, amely úgy érzékeli, hogy egy jegyautomata/jegykezelő van a közelben
- ezzel egy időben egy Androidos telefonon futó, a kutatók által kifejlesztett speciális applikáció segítségével az iPhone-ról érkező jeleket egy érintésmentes fizetési terminálra továbbítják
- mivel az iPhone úgy érzékeli, hogy a tulajdonos az Express Transit-tal épp jegyet akar venni, ezért nem kell feloldani a telefont
- eközben az iPhone és a terminál közötti kommunikációt úgy módosítják, hogy a telefon úgy érzékelje, a tulajdonos feloldotta és engedélyezte a „támadók" által kérvényezett fizetést, amelynek köszönhetően nagy értékű, gyakorlatilag korlátlan mennyiségű tranzakciót lehet végrehajtani PIN-kód, ujjlenyomat vagy arcfelismerő használata nélkül
A Surrey-i Egyetem kutatója, Dr. Ioana Boureanu kifejtette, hogy a terminál és az Androidos telefon akár másik kontinensen is lehet, amíg van internetkapcsolat, addig működik a módszer. Ebben az esetben a rádiókészüléknek kell a helyszínen lennie. A kutatók a Samsung Pay-t és a Master Card-ot is tesztelték, esetükben nem tudták feltörni a kártyákat.
A videó EZEN AZ OLDALON megtekinthető.
Nincs itt semmi látnivaló!
A Visa szóvivője elmondta, hogy a vállalat minden kockázatot komolyan vesz, és az Express Transit továbbra is biztonságosan használható Visa kártyákkal. Ahogy fogalmazott, a kutatók laboratóriumi körülmények között demonstrálták a problémát, amit a való életben szinte lehetetlen megvalósítani. A legnagyobb veszélyben talán azok a telefonok vannak, amelyeket elhagynak a tulajdonosaik. Erre is van megoldás, ugyanis az iCloud segítségével blokkolni lehet az Apple Pay használatát, illetve a Visát is meg lehet kérni, hogy tiltsa le a kártyát.
