Komoly sebezhetőséget találtak a kiberbiztonsági kutatók az Apple Pay egyik szolgáltatásában, az Express Transitban. A birgminghami és a Surrey-i Egyetem szakemberei szerint képesek voltak 1000 fontot (kb. 418 ezer forint) elkölteni a Visa érintésmentes fizetési megoldásával anélkül, hogy az iPhone-t fel kellett volna ehhez oldani. Az Apple aggasztónak nevezte a jelenséget, míg a Visa szerint a kutatók által demonstrált sebezhetőség legfeljebb laboratóriumi körülmények között hajtható végre a gyakorlatban, a való életben nem.

Az Express Transit az Apple Pay egyik szolgáltatása, ami lehetővé teszi, hogy a tömegközlekedési eszközökön gyorsan fizessünk egy iPhone vagy egy Apple Watch segítségével anélkül, hogy fel kellene ébreszteni a készüléket, vagy fel kellene oldani a zárolását, illetve meg kellene nyitni egy alkalmazást. Emellett nem szükséges hitelesítést végezni a Face ID, a Touch ID vagy egy jelkód segítségével – olvasható az Apple támogatói oldalán.

Apple

A BBC beszámolója szerint a támadás – nagyon leegyszerűsítve, és persze néhány lépést szándékosan kihagyva – az alábbiak szerint néz ki:

• a támadók egy kis adóvevőt helyeznek el ott, ahol a felhasználó fizetni szokott a jegyéért,
• egy androidos telefon, ami a kutatók által írt alkalmazást futtatja, továbbítja az iPhone-ról érkező jelet egy olyan terminálra, ami a bűnözők tulajdonában van,
• mivel az iPhone úgy érzékeli, hogy a tranzakció sikeres volt, a készüléket nem kell feloldani,
• a terminál és az iPhone közötti kommunikációt viszont úgy módosítják, mintha a készülékkel jóváhagytak volna egy tranzakciót, így nagyobb összegű vásárlást is lehetővé tudnak vele tenni a PIN-kód megadása, az ujjlenyomat vagy a Face ID használata nélkül.

A kutatók szerint ahhoz, hogy a csalás működjön, az androidos telefonnak és a bűnözők által használt terminálnak nem kell az átvert iPhone közelében lenniük.

A szakemberek eddig csak laboratóriumi környezetben próbálták ki a trükköt, és egyelőre nincs bizonyíték rá, hogy bűnözők is éltek volna ezzel a módszerrel. Ken Munro, a Pen Test Partners kiberbiztonsági cég kutatója szerint a legnagyobb félnivaló az ellopott vagy elveszett iPhone-ok miatt lehet, mert azokat a bűnözők gyorsan felhasználhatják, és nagyobb összegeket emelhetnek le a tulajdonosok számlájáról.

AFP / Qi Heng

A kutatók azt állítják, egy évvel ezelőtt már megkeresték az Apple-t és a Visa szakembereit is, hogy jelezzék a problémát, és bár voltak konstruktív megbeszélések, összességében nem történt előrelépés az ügyben. Utóbbi cég a BBC-nek úgy nyilatkozott, az Apple Pay Expressz tömegközlekedéshez csatlakoztatott Visa-kártyák használata biztonságos.

Andreea Radu, a Birminghami Egyetem munkatársa szerint azonban ha ezt a problémát nem kezelik, akkor néhány év múlva már valós veszélyről fogunk beszélni.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.