Ερευνητές απέδειξαν ότι μια ευπάθεια στο Apple Pay με κάρτες Visa επιτρέπει κλοπή χρημάτων από κλειδωμένο iPhone. Δες πώς λειτουργεί και πώς να προστατευτείς.
Ακαδημαϊκοί ερευνητές κυβερνοασφάλειας κατάφεραν να αφαιρέσουν 10.000 δολάρια από κλειδωμένο iPhone χρησιμοποιώντας μια γνωστή ευπάθεια που συνδυάζει το Apple Pay, κάρτες Visa και τη λειτουργία Express Transit. Η επίθεση δεν απαιτεί το ξεκλείδωμα της συσκευής — αρκεί η φυσική εγγύτητα και εξειδικευμένος εξοπλισμός NFC. Το exploit παρουσιάστηκε στο ευρύ κοινό μέσα από βίντεο του δημοφιλούς καναλιού Veritasium στο YouTube.
Πώς λειτουργεί η επίθεση
Το exploit αναπτύχθηκε από ερευνητές του Πανεπιστημίου του Surrey και του Πανεπιστημίου του Birmingham, και είχε πρωτοδημοσιευτεί ήδη από το 2021, αν και τώρα απέκτησε ευρύτερη δημοσιότητα. Η επίθεση εκμεταλλεύεται τη λειτουργία Express Transit Mode του iPhone — τη ρύθμιση που επιτρέπει γρήγορες πληρωμές για αστικές συγκοινωνίες χωρίς να απαιτείται ξεκλείδωμα.
Ο επιτιθέμενος χρησιμοποιεί μια συσκευή ανάγνωσης NFC που παρεμβάλλεται στην επικοινωνία μεταξύ iPhone και τερματικού πληρωμής. Η συσκευή αυτή είναι συνδεδεμένη σε laptop που συλλέγει τα δεδομένα της συναλλαγής και τα μεταβιβάζει σε ένα δεύτερο κινητό — το λεγόμενο «burner phone» — το οποίο χρησιμοποιείται στη συνέχεια για να ολοκληρώσει τη πληρωμή σε νόμιμο τερματικό. Η συσκευή NFC πρέπει να είναι ρυθμισμένη στον ίδιο αναγνωριστικό κωδικό με ένα νόμιμο τερματικό συγκοινωνίας, ώστε το iPhone να «νομίζει» ότι κάνει κανονική πληρωμή διέλευσης.
Η επίδειξη με τον MKBHD
Το κανάλι Veritasium επέλεξε να κάνει live επίδειξη αφαιρώντας 10.000 δολάρια από το κλειδωμένο iPhone του γνωστού YouTuber Marques Brownlee (MKBHD), χωρίς εκείνος να χρειαστεί να κάνει κάτι ή να το γνωρίζει εκ των προτέρων. Το αποτέλεσμα ξεπέρασε τα συνήθη όρια ανά συναλλαγή, γεγονός που αναδεικνύει πόσο σοβαρή μπορεί να είναι η ευπάθεια.
Γιατί επηρεάζει μόνο Visa — και όχι άλλες κάρτες
Το exploit δεν λειτουργεί με Mastercard ή American Express, καθώς αυτές οι κάρτες χρησιμοποιούν διαφορετικές μεθόδους ασφαλείας. Επίσης, δεν επηρεάζει χρήστες Samsung Pay σε Android συσκευές. Απαιτεί συγκεκριμένα τον συνδυασμό iPhone με Visa — χωρίς αυτή τη συνθήκη, η επίθεση αποτυγχάνει.
Η Apple δήλωσε ότι το πρόβλημα αφορά το σύστημα της Visa και όχι το iPhone. Η Visa, από την πλευρά της, επέμεινε ότι η συγκεκριμένη μορφή απάτης είναι ιδιαίτερα απίθανο να εκδηλωθεί σε πραγματικές συνθήκες και ότι οι κάτοχοι καρτών καλύπτονται από την πολιτική μηδενικής ευθύνης (zero liability policy) της εταιρείας. Τυχόν μη εξουσιοδοτημένες συναλλαγές μπορούν να αμφισβητηθούν.
Πώς να προστατευτείς
Οι ερευνητές που δημοσίευσαν το exploit έδωσαν και την πρακτική λύση: μην έχεις ενεργοποιημένη κάρτα Visa για πληρωμές Transit στο iPhone. Απενεργοποιώντας το Express Transit Mode ή αντικαθιστώντας την Visa με άλλη κάρτα για αυτή τη λειτουργία, η επίθεση δεν μπορεί να πραγματοποιηθεί.
Η άποψή μας στο Techblog
Αν και η επίθεση απαιτεί φυσική επαφή και εξοπλισμό που δεν έχει ο τυχαίος κακόβουλος, αποδεικνύει για ακόμη μια φορά ότι οι ανέπαφες πληρωμές δεν είναι αδιαπέραστες. Για τον χρήστη που έχει Visa συνδεδεμένη στο Apple Wallet και μετακινείται με τα ΜΜΜ, αξίζει να ελέγξει τις ρυθμίσεις Express Transit. Μέχρι να υπάρξει επίσημη διόρθωση από Visa ή Apple, η πιο απλή προφύλαξη είναι να μην χρησιμοποιεί Visa κάρτα για πληρωμές διέλευσης.
