Forskere i Storbritannien har påvist, hvor store uautoriserede kontaktløse betalinger kan foretages på låste iPhones ved at udnytte Apple Pay 's Express Transit-funktion, når den er konfigureret med Visa.
Express Transit er en Apple Pay funktion, der giver mulighed for tryk-og-gå-betaling ved billetbarrierer, hvilket eliminerer behovet for at autentificere med Face ID, Touch ID eller en adgangskode. Enheden behøver ikke at blive vækket eller låst op for at bruge Express Transit.
Datalogi-forskere fra Birmingham og Surrey Universiteter demonstrerede for BBC hvordan angrebet fungerer ved at udnytte en svaghed i Visas kontaktløse system gennem brug af et lille stykke kommercielt tilgængeligt radioudstyr, som er placeret i nærheden af telefonen og maskerer sig som en billetbarriere.
En Android-telefon, der kører en app udviklet af forskerne, bruges til at videresende signaler fra iPhone til en kontaktløs betalingsterminal og ændrer kommunikationen for at narre terminalen til at opføre sig som om iPhone er blevet låst op og en betaling godkendt.
Ved at demonstrere angrebet foretog forskere en kontaktløs Visa-betaling på £1.000 fra en låst iPhone. Forskerne tog kun penge fra deres egne konti. Forskerne sagde, at den anvendte Android-telefon og betalingsterminal ikke behøver at være i nærheden af ofrets iPhone så længe der er internetforbindelse.
Apple fortalte BBC sagen var et problem med Visa-systemet.
har begge airpods en mikrofon
'Vi tager enhver trussel mod brugernes sikkerhed meget alvorligt,' sagde Apple. 'Dette er et problem med et Visa-system, men Visa mener ikke, at denne form for svindel sandsynligvis vil finde sted i den virkelige verden i betragtning af de mange sikkerhedslag, der er på plads. I det usandsynlige tilfælde, at en uautoriseret betaling finder sted, har Visa gjort det klart, at deres kortholdere er beskyttet af Visas nulansvarspolitik.'
Forskerne sagde, at angrebet måske er nemmest at implementere mod en stjålet iPhone, selvom der ikke er bevis for, at hacket er blevet brugt i naturen. Visa sagde, at betalinger var sikre, og at angreb af denne type var upraktiske uden for et laboratorium.
er applecare det værd til iphone
'Visa-kort forbundet til Apple Pay Express Transit er sikre, og kortholdere bør fortsætte med at bruge dem med tillid,' sagde en Visa-talsmand. 'Variationer af kontaktløse svindelordninger er blevet undersøgt i laboratoriemiljøer i mere end et årti og har vist sig at være upraktiske at udføre i stor skala i den virkelige verden.'
Det fortalte forskerne BBC de henvendte sig først til Apple og Visa med deres bekymringer for næsten et år siden, men trods 'nyttige' samtaler er problemet endnu ikke løst. Forskerne testede også Express Transit med Mastercard, men fandt ud af, at den måde, dets sikkerhed fungerer på, forhindrede angrebet.
'Det har en vis teknisk kompleksitet,' sagde Dr. Andreea Radu, fra University of Birmingham, der ledede forskningen. 'Men jeg føler, at belønningen ved at udføre angrebet er ret høj. Om nogle år kan det blive et reelt problem.'
Dr. Tom Chothia, også ved University of Birmingham, rådgav iPhone brugere for at tjekke, om de har et Visa-kort sat op til at bruge Express Transit, og hvis det er tilfældet, deaktiver det. 'Der er ikke behov for Apple Pay brugere til at være i fare, men indtil Apple eller Visa løser dette, er de,' sagde han.
Relateret Roundup: Apple Pay Tags: Visa , Express Transit-relateret forum: Apple Music, Apple Pay/Card, iCloud, Fitness+
Populære Indlæg