تیمی از محققان بریتانیایی از وجود برخی مسائل امنیتی مربوط به کارتهای ویزا و اپل پی خبر دادند که به مهاجمان امکان میدهد با دور زدن صفحه قفل تلفنهای هوشمند و بدون نیاز به رمز عبور، پرداختهای بدون تماس انجام دهند. طبق این تحقیقات، این نقص زمانی رخ میدهد که کارتهای ویزا در حالت اکسپرس ترانزیت در گوشیهای آیفون تنظیم شده باشند. قابلیت اکسپرس ترانزیت اپل به کاربران امکان میدهد تا با استفاده از کارت اعتباری خود، بدهی، حمل و نقل و موارد دیگر را بدون نیاز به باز کردن قفل دستگاه و احراز هویت بیشتر پرداخت نمایند.
به گفته محققان این آسیب پذیری تنها روی ویزا کارتهای ذخیره شده در کیف پول اپل پی تأثیر میگذارد؛ این اتفاق به دلیل کد منحصربهفردی است که توسط گیتهای ترانزیت پخش میشود تا به آیفون نشان دهد قفل کیف پول را باز میکند. این تیم توانستند با استفاده از تجهیزات رایج رایانهای، آیفون را به گونهای که متصور شد در مقابل گیت ترانزیت قرار دارد فریب داده و پرداخت انجام دهند.
حمله مذکور که تحت عنوان proof-of-concept شناخته میشود، از طریق قابلیت اکسپرس ترانزیت اپل پی انجام شد که به وسیله آن امکان انجام یک پرداخت تلقبی فراهم گشت. حملات مشابهی نیز با پخش کدهای منحصربهفرد و اصلاح مجموعهای از متغییرها نیز امکانپذیر است. با این حال، محققان خاطرنشان میکنند که این حمله در مقیاس وسیعتر و در دنیای واقعی عملی به نظر نمیرسد.
نکته قابل توجه دیگر این است که پروتکلهای احراز هویت تنها یکی از لایههای حفاظت از پرداختها هستند و بانکها و مؤسسات مالی اغلب از سیستمهای پیشرفتهتری برای تشخیص معاملات مشکوک و کلاهبرداری از طریق تلفنهای همراه پیادهسازی میکنند. سیستمهای حفاظتی مؤسساتی به میزانی است که کلاهبرداریهای ثبت شده در شبکه جهانی ویزا کارت، کمتر از 0.1 درصد است.
طبق صحبتهایی که محققان در گفتوگوی خود با وبسایت ZDNet داشتهاند، آنان چندین بار با کمپانیهای اپل و ویزا در ارتباط با این باگ امنیتی صحبت کردهاند، اما مشکل همچنان پابرجاست. رادو، یکی از اعضای تیم، در محاسبه خود با این وبسایت اظهار داشت:
تحقیق ما یک مثال واضح از یک ویژگی را نشان میدهد که بهمنظور تسهیل زندگی، تأثیرات منفی برا امنیت و پیامدهای مالی جدی برای کاربران به وجود میآورد!
وی افزود:
مذاکرات ما با کمپانیهای اپل و ویزا نشان داد، درحالیکه هردو طرف به نحوی مقصر این مشکل هستند، هیچکدام حاضر نیستند مسئولیت خود را بپذیرند و راه حلی برای این مسئله بیایند.
در گفتوگویی وبسایت ZDNet، کمپانی ویزا اظهار داشت که این نوع حملات اتفاق جدیدی نیست و مشتریان نباید نگرانی چندانی در رابطه با آن داشته باشند. به گفته این شرکت، انواع طرحهای کلاهبرداری بدون تماس در محیط آزمایشگاه، برای بیش از یک دهه مورد مطالعه قرار گرفتهاند و ثابت شده است که در دنیای واقعی و مقیاسهای بزرگتر، هرگز قابل اجرا نیستند. ویزا همه تهدیدات امنیتی را بسیار جدی میگیرد و ما خستگی ناپذیر برای تقویت امنیت پرداخت در سراسر اکوسیستم خود تلاش میکنیم.
این نقص امنیتی توسط محققان دانشگاه بیرمنگام و ساری در بریتانیا کشف شده است؛ به گفته آنان، این مقاله که توسط نویسندگانی چون، ایوانا بوریانو، آندریا-اینا رادو و برخی دیگر نوشته شده است، قرار است در سمپوزیوم امنیت و حریم خصوصی IEEE 2022 منتشر شود.
در ادامه میتوانید نحوه عملکرد این حمله با استفاده از باگ موجود در اپل پی را مشاهده کنید.