Các nhà nghiên cứu từ các trường đại học Birmingham và Surrey của Anh đã phát hiện ra một lỗ hổng trong hệ thống thanh toán không tiếp xúc Apple Pay, cho phép bạn rút bất kỳ số tiền nào từ thẻ ngân hàng được liên kết với nó mà không cần mở khóa iPhone. Thử nghiệm xác nhận rằng phương pháp này chỉ hoạt động với thẻ ngân hàng Visa.
Một tính năng của hệ thống Apple Thanh toán là nó chỉ xác nhận giao dịch trong một số điều kiện nhất định. Để thanh toán được thực hiện, chủ sở hữu điện thoại thông minh phải trải qua quá trình xác thực và mở khóa iPhone bằng một trong ba cách: sử dụng Face ID, Touch ID hoặc mật khẩu.
Tuy nhiên, các nhà nghiên cứu nhận thấy rằng việc bảo vệ Apple Có thể bỏ qua thanh toán bằng cách sử dụng chức năng Express Transit tích hợp, cho phép bạn chuyển tiền từ thẻ Visa được liên kết mà không cần phải mở khóa thiết bị. Tính năng Express Transit đã được đưa vào hệ thống Apple Thanh toán vào năm 2019 do sự bất tiện phải mở khóa điện thoại mỗi lần để thanh toán cho việc đi lại trên cùng một phương tiện giao thông công cộng.
“Kết hợp với thẻ Visa, điều này có thể hữu ích để vượt qua sự bảo vệ của iPhone bị khóa. Nói cách khác, kẻ tấn công có thể chuyển bất kỳ số tiền nào từ tài khoản của nạn nhân mà không cần phải mở khóa điện thoại thông minh”, các nhà nghiên cứu giải thích. Để chứng minh lời nói của mình, các chuyên gia đã công bố một đoạn video cho thấy cách họ nhận được khoản thanh toán 1000 bảng Anh từ một chiếc iPhone bị khóa mà không biết mật khẩu của nó. Để làm được điều này, họ đã sử dụng thiết bị di động Proxmark hoạt động như một đầu đọc thẻ tương tác với iPhone của nạn nhân tưởng tượng và Android- một thiết bị hoạt động như một thiết bị đầu cuối thanh toán. Theo đồ họa thông tin được công bố, phương pháp của các chuyên gia hoạt động theo nguyên tắc “Người trung gian”. Các chuyên gia lưu ý rằng ngày nay lỗ hổng này vẫn còn có liên quan, vì vậy người dùng Apple Thanh toán bằng thẻ Visa chắc chắn đáng xem xét tính năng này.
"Các cuộc thảo luận của chúng tôi với Apple và Visa đã chỉ ra rằng khi cả hai bên trong ngành đều chịu trách nhiệm một phần cho một sự kiện, không sẵn sàng chịu trách nhiệm và thực hiện các thay đổi, khiến người dùng dễ bị tổn thương vô thời hạn ", Andrea Radu từ Đại học Birmingham nhận xét.
Đọc thêm:
- Apple AirTag có thể được sử dụng để hack và đánh cắp dữ liệu
- Đánh giá Sạc không dây Moshi Sette Q với Tiện ích bổ sung Moshi Flekto cho Apple Đồng hồ đeo tay
Đó là tất cả những lầm tưởng về bảo mật iOS.
Về cơ bản, tôi thấy nó theo cách đó. Nhập chuỗi hành động vào một lập trình viên nào đó để bạn không phải loay hoay với tay mọi lúc, bỏ thiết bị vào túi và lái xe trong giờ cao điểm, ép túi vào điện thoại di động ở túi ngoài. Lợi nhuận! Đề phòng, xin hãy coi bình luận này như một lời nhắn nhủ của một người dân có liên quan đến Cục An ninh mạng. ;)