Forscher in Großbritannien haben gezeigt, wie große unbefugte kontaktlose Zahlungen auf gesperrten iPhones durch Ausnutzung von . getätigt werden können Apple-Pay 's Express Transit-Funktion bei der Einrichtung mit Visa.
Express Transit ist ein Apple Pay Funktion, die eine Tap-and-Go-Zahlung an Ticketbarrieren ermöglicht und die Authentifizierung mit Face ID, Touch ID oder einem Passcode überflüssig macht. Das Gerät muss nicht geweckt oder entsperrt werden, um Express Transit zu verwenden.
Informatikforscher der Universitäten Birmingham und Surrey demonstrierten dem BBC wie der Angriff funktioniert, indem eine Schwachstelle des kontaktlosen Visa-Systems ausgenutzt wird, indem ein kleines handelsübliches Funkgerät verwendet wird, das in der Nähe des Telefons platziert wird und sich als Ticketbarriere tarnt.
Ein Android-Telefon, auf dem eine von den Forschern entwickelte App läuft, wird verwendet, um Signale von der iPhone an ein kontaktloses Zahlungsterminal und modifiziert die Kommunikation, um das Terminal so zu täuschen, als ob das iPhone wurde entsperrt und eine Zahlung autorisiert.
Um den Angriff zu demonstrieren, leisteten Forscher eine kontaktlose Visa-Zahlung in Höhe von 1.000 GBP von einem gesperrten iPhone. Die Wissenschaftler nahmen nur Geld von ihren eigenen Konten. Die Forscher sagten, dass sich das verwendete Android-Telefon und das Zahlungsterminal nicht in der Nähe des iPhone des Opfers befinden müssen. solange eine Internetverbindung besteht.
Apple sagte dem BBC die Angelegenheit war ein Problem mit dem Visa-System.
wenn das iphone 8 stirbt kommt raus
'Wir nehmen jede Bedrohung der Sicherheit der Benutzer sehr ernst', sagte Apple. „Dies ist ein Problem bei einem Visa-System, aber Visa glaubt nicht, dass diese Art von Betrug in der realen Welt aufgrund der mehreren Sicherheitsebenen wahrscheinlich ist. Für den unwahrscheinlichen Fall, dass eine nicht autorisierte Zahlung erfolgt, hat Visa klargestellt, dass ihre Karteninhaber durch die Null-Haftungs-Politik von Visa geschützt sind.'
Die Forscher sagten, der Angriff könnte am einfachsten gegen ein gestohlenes iPhone eingesetzt werden, obwohl es keine Beweise dafür gibt, dass der Hack in freier Wildbahn eingesetzt wurde. Visa sagte, Zahlungen seien sicher und Angriffe dieser Art seien außerhalb eines Labors unpraktisch.
lohnt sich applecare für iphone
'Visa-Karten, die mit Apple Pay Express Transit verbunden sind, sind sicher und Karteninhaber sollten sie weiterhin mit Vertrauen verwenden', sagte ein Visa-Sprecher. 'Variationen von kontaktlosen Betrugsversuchen werden seit mehr als einem Jahrzehnt in Laborumgebungen untersucht und haben sich in der realen Welt als unpraktisch erwiesen, um sie in großem Maßstab durchzuführen.'
Die Forscher sagten dem BBC Sie wandten sich mit ihren Bedenken erstmals vor fast einem Jahr an Apple und Visa, aber trotz 'nützlicher' Gespräche ist das Problem noch nicht behoben. Die Forscher testeten auch Express Transit mit Mastercard, stellten jedoch fest, dass die Sicherheitsfunktionen den Angriff verhinderten.
'Es hat eine gewisse technische Komplexität', sagte Dr. Andreea Radu von der University of Birmingham, die die Forschung leitete. „Aber ich denke, die Belohnung für den Angriff ist ziemlich hoch. In ein paar Jahren könnten diese zu einem echten Problem werden.'
Dr. Tom Chothia, ebenfalls von der University of Birmingham, beriet iPhone Benutzer, um zu überprüfen, ob sie eine Visa-Karte für die Nutzung von Express Transit eingerichtet haben, und deaktivieren Sie diese, falls dies der Fall ist. 'Es besteht keine Notwendigkeit für Apple Pay Benutzer in Gefahr, aber bis Apple oder Visa dies beheben, sind sie es“, sagte er.
Verwandte Zusammenfassung: Apple-Pay Tags: Visum , Express-Transit Verwandtes Forum: Apple Music, Apple Pay/Card, iCloud, Fitness+
Beliebte Beiträge