นักวิจัยในสหราชอาณาจักรได้แสดงให้เห็นว่าการชำระเงินแบบไม่ต้องสัมผัสโดยไม่ได้รับอนุญาตสามารถทำได้บน iPhone ที่ถูกล็อกโดยการใช้ประโยชน์จาก Apple Pay ฟีเจอร์ Express Transit ของเมื่อตั้งค่ากับ Visa
การขนส่งสาธารณะคือ Apple Pay ฟีเจอร์ที่ช่วยให้ชำระเงินแบบแตะแล้วไปใช้ได้ที่ด่านตรวจตั๋ว ขจัดความจำเป็นในการรับรองความถูกต้องด้วย Face ID, Touch ID หรือรหัสผ่าน ไม่จำเป็นต้องปลุกหรือปลดล็อกอุปกรณ์เพื่อใช้ระบบขนส่งด่วน
นักวิจัยด้านวิทยาการคอมพิวเตอร์จากมหาวิทยาลัยเบอร์มิงแฮมและเซอร์รีย์สาธิตให้ บีบีซี การโจมตีทำงานอย่างไรโดยใช้ประโยชน์จากจุดอ่อนในระบบ Visa contactless ผ่านการใช้อุปกรณ์วิทยุที่มีขายทั่วไปชิ้นเล็กๆ ซึ่งวางไว้ใกล้โทรศัพท์และปลอมตัวเป็นเครื่องกีดขวางตั๋ว
โทรศัพท์ Android ที่ใช้แอพที่พัฒนาโดยนักวิจัยใช้เพื่อถ่ายทอดสัญญาณจาก iPhone ไปยังเครื่องชำระเงินแบบไม่ต้องสัมผัสและแก้ไขการสื่อสารเพื่อหลอกให้เครื่องชำระเงินดำเนินการเสมือนว่า iPhone ได้รับการปลดล็อคและการชำระเงินที่ได้รับอนุญาต
ในการสาธิตการโจมตี นักวิจัยได้ชำระเงินวีซ่าแบบไม่ต้องสัมผัสจำนวน 1,000 ปอนด์จาก iPhone นักวิทยาศาสตร์รับเงินจากบัญชีของตนเองเท่านั้น นักวิจัยกล่าวว่าโทรศัพท์ Android และเครื่องชำระเงินที่ใช้ไม่จำเป็นต้องอยู่ใกล้ iPhone ของเหยื่อ ตราบใดที่มีการเชื่อมต่ออินเทอร์เน็ต
แอปเปิ้ลบอกกับ บีบีซี เรื่องนี้เป็นปัญหากับระบบวีซ่า
วิธีวัดส่วนสูงใน iphone 12
'เราให้ความสำคัญกับความปลอดภัยของผู้ใช้อย่างจริงจัง' Apple กล่าว 'นี่เป็นข้อกังวลกับระบบวีซ่า แต่ Visa ไม่เชื่อว่าการฉ้อโกงแบบนี้มีแนวโน้มที่จะเกิดขึ้นในโลกแห่งความเป็นจริงเนื่องจากมีการรักษาความปลอดภัยหลายชั้น ในกรณีที่ไม่น่าเป็นไปได้ที่มีการชำระเงินโดยไม่ได้รับอนุญาต Visa ได้ชี้แจงอย่างชัดเจนว่าผู้ถือบัตรของตนได้รับการคุ้มครองโดยนโยบายความรับผิดเป็นศูนย์ของ Visa'
นักวิจัยกล่าวว่าการโจมตีอาจง่ายที่สุดในการปรับใช้กับ iPhone ที่ขโมยมา แม้ว่าจะไม่มีหลักฐานว่าแฮ็คดังกล่าวถูกใช้ในธรรมชาติ วีซ่ากล่าวว่าการชำระเงินมีความปลอดภัยและการโจมตีประเภทนี้ไม่สามารถทำได้นอกห้องแล็บ
วิธีตั้งเสียงเรียกเข้าไอโฟน
'บัตรวีซ่าที่เชื่อมต่อกับ Apple Pay Express Transit นั้นปลอดภัย และผู้ถือบัตรควรใช้บัตรเหล่านี้อย่างมั่นใจ' โฆษกของ Visa กล่าว 'รูปแบบต่างๆ ของแผนการฉ้อโกงแบบไร้สัมผัสได้รับการศึกษาในห้องปฏิบัติการมาเป็นเวลากว่าทศวรรษแล้ว และได้พิสูจน์แล้วว่าไม่สามารถทำได้ในวงกว้างในโลกแห่งความเป็นจริง'
นักวิจัยกล่าวว่า บีบีซี พวกเขาติดต่อ Apple และ Visa เป็นครั้งแรกด้วยความกังวลเมื่อเกือบหนึ่งปีที่แล้ว แต่ถึงแม้จะมีการสนทนาที่ 'มีประโยชน์' แต่ปัญหาก็ยังไม่ได้รับการแก้ไข นักวิจัยยังได้ทดสอบ Express Transit ด้วย Mastercard แต่พบว่าวิธีการทำงานของระบบรักษาความปลอดภัยป้องกันการโจมตีได้
ดร. Andreea Radu จากมหาวิทยาลัยเบอร์มิงแฮมซึ่งเป็นผู้นำการวิจัยกล่าวว่า 'มันมีความซับซ้อนทางเทคนิคบางอย่าง' 'แต่ฉันรู้สึกว่าผลตอบแทนจากการโจมตีค่อนข้างสูง ในอีกไม่กี่ปีข้างหน้า สิ่งเหล่านี้อาจกลายเป็นปัญหาที่แท้จริง'
ดร.ทอม โชเธีย แห่งมหาวิทยาลัยเบอร์มิงแฮม ให้คำแนะนำว่า iPhone ให้ผู้ใช้ตรวจสอบว่ามีบัตร Visa ที่ตั้งค่าให้ใช้ Express Transit หรือไม่ ถ้าใช่ ให้ปิดการใช้งาน 'ไม่จำเป็นต้อง Apple Pay ผู้ใช้จะตกอยู่ในอันตราย แต่จนกว่า Apple หรือ Visa จะแก้ไขปัญหานี้' เขากล่าว
Roundup ที่เกี่ยวข้อง: Apple Pay Tags: วีซ่า , ฟอรั่มที่เกี่ยวข้องกับการขนส่งสาธารณะ: Apple Music, Apple Pay/Card, iCloud, Fitness+
โพสต์ยอดนิยม