A Birminghami és a Surrey-i Egyetem kutatói kiszúrták, hogy az Apple Pay és a Visa együttes használata könnyű célpontot kreálhat a hekkereknek. A veszély akkor áll fent, ha az iPhone Express Travel nevű szolgáltatásnál a Visa az alapértelmezett bankkártya.
Szimuláción játszották le a csalást
A kutatók egy videón mutatták meg, hogyan lehet ezer fontot lelopni egy zárolt iPhone-ról, amin az Express Travel nevű szolgáltatást használják. A szolgáltatás az Apple Payhez tartozik, amivel úgy fizethetünk a tömegközlekedésért, hogy nem kell hozzá feloldani sem az iPhone-t, sem az Apple Watch készüléket, és a tranzakció egyéb azonosítást sem igényel.
A BBC beszámolója szerint a támadáshoz szükséges egy adóvevő (aminek nem kell a megtámadott eszköz közelében lennie), egy androidos telefon és egy azon futtatott alkalmazás (a szimulációban ez a kutatók által írt program volt.)
Fizetéskor az iPhone-ról érkező jel a bűnözők termináljára érkezik és az áldozat készüléke úgy érzékeli, hogy a tranzakció sikeres volt.
A két készülék, azaz a terminál és az iPhone közti kommunikációt a csalók úgy is mókolhatják, hogy magasabb összegű vásárlást is lebonyolítható bármiféle azonosítás nélkül.
Körkép: mely bankoknál és milyen kártyával érhető el az Apple Pay
Mit lehet tenni?
A tudósok eddig csak kreált helyzetben próbálták ki a csalást, valódi esetről egyelőre nincs hír. A szakemberek egy éve jelezték a gikszert az Apple-nek és a Visának, de még egyik cég sem tett semmit, azaz a rendszer továbbra is sérülékeny.
Andreea Radu, a Birminghami Egyetem munkatársa azt tanácsolja az iPhone-felhasználóknak, hogy Visa-kártyájukat ne kössék össze az Express Travel funkcióval.
Ha az eszköz elveszik, azonnal kérjék a banktól a kártya zárolását, mert enélkül bármekkora összeg levonható róla.
Kijavította az Apple a hibát a szoftverben, amit kihasználva telepíthették a Pegasus kémprogramot