محققان بریتانیایی از باگ امنیتی سیستم پرداخت اپلپی و کارتهای ویزا خبر میدهند
تیمی از محققان امنیتی در بریتانیا، باگهای مربوط به کارتهای ویزای ثبت شده و پلتفرم پرداخت اپلپی را مورد بررسی قرار داده و متوجه شدند که هکرها میتوانند از طریق باگهای امنیتی بدون نیاز به باز کردن قفل آیفون، پرداخت کنند.
طبق تحقیقات انجام شده، این نقض زمانی رخ میدهد که کارتهای ویزا کاربران در حالت Express Transit اپل در آیفون تنظیم شده باشند. این نقض باعث میشود هکرها از قفل گوشیهای آیفون عبور کرده و بدون رمز عبور پرداختهای بدون ارتباطی انجام دهند. حالت اکسپرس ترانزیت اپل به کاربران این امکان را میدهد تا با استفاده از کارت اعتباری، بدهی یا کارت ترانزیت و بدون باز کردن قفل دستگاه خود هزینههای عبور و مرور را پرداخت کنند.
به گفته محققان، این آسیبپذیری فقط روی کارتهای ویزا ذخیره شده در کیف پول تاثیر میگذارد و دلیل اصلی آن کدهای منحصر به فردی است که از طریق دروازههای ترانزیت به گوشی آیفون اجازه میدهد قفل اپل پی را باز کند.
محققان با استفاده از تجهیزات رادیویی رایج، توانستند یک حمله برنامهریزی شده را انجام دهند که باعث فریب گوشی آیفون با این تصور که در دروازه ترانزیت قرار دارد شود. آزمون اثبات ایده محققان شامل یک آیفون با حالت اکسپرس ترانزیت فعال بود که امکان پرداخت جعلی به یک دستگاه دیگر را فراهم کرد.
با این وجود، محققان خاطر نشان کردند که این جمله چندان عملی به نظر نمیرسد. در واقع حتی اگر هکرها بتوانند آن را با موفقیت انجام دهند، بانکها و موسسات مالی مکانیزمهای دیگری دارند که با شناسایی معاملات مشکوک میتوانند از انجام این تقلب جلوگیری کنند.
محققان برای اولین بار در اکتبر ۲۰۲۰ به اپل و در مه ۲۰۲۱ به ویزا هشدار داده بودند. با این حال، ویزا در بیانیه خود برای ZDNet عنوان کرد که این نوع حملات چیز جدیدی نیست و مشتریان نگرانی چندان زیادی نداشته باشند.