حذر باحثون من أن مجموعة من عيوب التصميم في Apple Pay و Visa يمكن أن تسمح للقراصنة بإجراء مدفوعات بدون تلامس دون أن يحتاج مستخدم iPhone إلى إلغاء قفل أجهزتهم.
وجد الخبراء من جامعة برمنغهام وجامعة ساري أنهم تمكنوا أيضًا من تجاوز الحد الأقصى للدفع بدون تلامس ، مما يسمح بالمعاملات بأي مبلغ.
في مثال فيديو باستخدام معدات راديو بسيطة ، تمكن الفريق من الحصول على مبلغ 1000 جنيه إسترليني من جهاز iPhone مغلق باستخدام ميزة Express Travel – وهو أمر يحذرون من أن المتسللين يمكن أن يتمكنوا من القيام به مع أجهزة iPhone المسروقة ، أو حتى الأجهزة الموجودة في حقيبة.
تمكن الباحثون من تحويل 1000 جنيه إسترليني من جهاز iPhone مغلق. الموافقة المسبقة عن علم: جامعة برمنغهام
السرقة المحتملة ممكنة فقط بسبب مجموعة من العيوب في كل من أنظمة Apple Pay و Visa ، وتؤثر فقط على الهواتف التي تحتوي على بطاقة Visa معدة لإجراء مدفوعات في ميزة Express Travel.
وأضافوا أن “عمليات التحقق من كشف الاحتيال في الخلفية لم توقف أيًا من مدفوعات الاختبار الخاصة بنا” ، على الرغم من أن Visa تجادل بأنه نظرًا لأن مدفوعات الاختبار أجريت في إعدادات المختبر ، فربما لم تنتج بعض الإشارات التي تُستخدم عادةً للكشف عن الاحتيال.
قال الباحثون لشبكة فيوتشر نيوز إنهم أمضوا “عامًا أو نحو ذلك” في مطاردة المشكلات مع Apple و Visa ، حيث يمكن لأي منهما منع الهجوم بمفردهما ، لكن لم يقم أي منهما بإصلاح أنظمتهما حتى الآن.
من المقرر نشر أبحاثهم في ندوة IEEE لعام 2022 حول الأمن والخصوصية.
أوضح الدكتور أندريا إينا رادو ، المؤلف الأول للدراسة والمحاضر في كلية علوم الكمبيوتر بجامعة برمنغهام ، لشبكة فيوتشر نيوز أن سبب المشكلة هو “ميزة رائعة حقًا” تم تضمينها في Apple لمستخدمي iPhone المسافرين في لندن. شبكات تحت الأرض أو شبكات مشابهة.
تعني ميزة Express Travel أنه لا يتعين على المستخدمين المصادقة عند استخدام أجهزة قراءة بدون تلامس للاستفادة من المحطات أو الحافلات ، على سبيل المثال باستخدام بصمات أصابعهم أو معرف الوجه – وهو أمر يمكن أن يساعد في منع قوائم الانتظار الطويلة.
لدى الباحثين مجموعة من العيوب في Apple Pay و Visa والتي يمكن أن تمكن المحتالين. ملف الموافقة المسبقة عن علم.
أوضح الدكتور رادو: “لقد وجدنا أنه يمكننا في الواقع إساءة استخدام هذه الميزة ، لذلك يمكننا بالفعل أن نأخذ دفعة من هاتف مقفل إلى محطات دفع ليست بوابات TfL (النقل في لندن).”
“لقد كنا في نقاش مع كل من Apple و Visa لمدة عام أو نحو ذلك … ويبدو أنهما على خلاف حول من يجب أن يصلح هذه المشكلة بالفعل. خلاصة القول هي أن الثغرات الأمنية تظل غير ثابتة للمستخدمين” ، مضاف.
“أنا مهتم حقًا برفاهية المستهلكين. نصيحتي لهم هي التأكد من عدم امتلاكهم لبطاقة Visa مع Express Travel.”
وأضافت الدكتورة إيوانا بوريانو ، وهي محاضرة كبيرة في الأنظمة الآمنة في جامعة ساري وباحثة في هذا المشروع: “إن أكثر نسخة قابلة للاستغلال من هذا هو إذا سرقت جهاز iPhone الخاص بشخص ما ، ولديه بطاقة فيزا مثبتة في Express Travel.
“قبل إعلان سرقة البطاقة أو iPhone وإيقاف تشغيلهما عن بُعد ، يمكنك إجراء العديد من الدفعات كما تريد باستخدام هواتفهم دون الحاجة إلى فتح قفله.
“إذا سرقت جهاز iPhone الخاص بك وحملته معي ، يمكنني القيام بذلك بسهولة ، ولكن يمكنني القيام بذلك بطريقة أكثر صعوبة في متجر عن طريق المشي أو الوقوف بجانبك.”
قال الباحثون: “نوصي المستخدمين بعدم استخدام Visa كبطاقة نقل في Apple Pay. في حالة ضياع iPhone أو سرقته ، قم بتنشيط Lost Mode على جهاز iPhone الخاص بك ، واتصل بالمصرف الذي تتعامل معه لحظر بطاقتك.”
تقول Visa إنها تتعامل مع جميع التهديدات الأمنية “بجدية بالغة”
قال متحدث باسم Visa: “بطاقات Visa المتصلة بخدمة Apple Pay Express Transit آمنة ويجب على حاملي البطاقات الاستمرار في استخدامها بثقة.
“تمت دراسة الأشكال المختلفة لمخططات الاحتيال اللاتلامسي في المعامل لأكثر من عقد من الزمان وثبت أنها غير عملية للتنفيذ على نطاق واسع في العالم الحقيقي.
“تأخذ Visa جميع التهديدات الأمنية على محمل الجد ، ونعمل بلا كلل لتعزيز أمان الدفع عبر النظام البيئي.”
وقالت شركة آبل: “إننا نتعامل مع أي تهديد لأمن المستخدمين على محمل الجد. هذا مصدر قلق لنظام فيزا ولكن فيزا لا تعتقد أن هذا النوع من الاحتيال من المحتمل أن يحدث في العالم الحقيقي نظرًا لطبقات الأمان المتعددة في المكان.
“في حالة حدوث مدفوعات غير مصرح بها ، وهو أمر بعيد الاحتمال ، أوضحت Visa أن حاملي بطاقاتهم محميون بموجب سياسة عدم المسؤولية عن Visa.”