1%

محققان باگ جدیدی در اپل پی برای پرداخت‌های بدون تماس کشف کردند

اپل پی

تیمی از محققان بریتانیایی از وجود برخی مسائل امنیتی مربوط به کارت‌های ویزا و اپل پی خبر دادند که به مهاجمان امکان می‌دهد با دور زدن صفحه قفل تلفن‌های هوشمند و بدون نیاز به رمز عبور، پرداخت‌های بدون تماس انجام دهند. طبق این تحقیقات، این نقص زمانی رخ می‌دهد که کارت‌های ویزا در حالت اکسپرس ترانزیت در گوشی‌های آیفون تنظیم شده باشند. قابلیت اکسپرس ترانزیت اپل به کاربران امکان می‌دهد تا با استفاده از کارت اعتباری خود، بدهی، حمل و نقل و موارد دیگر را بدون نیاز به باز کردن قفل دستگاه و احراز هویت بیشتر پرداخت نمایند.

به گفته محققان این آسیب پذیری تنها روی ویزا کارت‌های ذخیره شده در کیف پول اپل پی تأثیر می‌گذارد؛ این اتفاق به دلیل کد منحصر‌به‌فردی است که توسط گیت‌های ترانزیت پخش می‌شود تا به آیفون نشان دهد قفل کیف پول را باز می‌کند. این تیم توانستند با استفاده از تجهیزات رایج رایانه‌ای، آیفون را به گونه‌ای که متصور شد در مقابل گیت ترانزیت قرار دارد فریب داده و پرداخت انجام دهند.

5d8913542e22af1add0a709d.png

حمله مذکور که تحت عنوان proof-of-concept شناخته می‌شود، از طریق قابلیت اکسپرس ترانزیت اپل پی انجام شد که به وسیله آن امکان انجام یک پرداخت تلقبی فراهم گشت. حملات مشابهی نیز با پخش کدهای منحصر‌به‌فرد و اصلاح مجموعه‌ای از متغییرها نیز امکان‌پذیر است. با این حال، محققان خاطرنشان می‌کنند که این حمله در مقیاس وسیع‌تر و در دنیای واقعی عملی به‌ نظر نمی‌رسد.

نکته قابل توجه دیگر این است که پروتکل‌های احراز هویت تنها یکی از لایه‌های حفاظت از پرداخت‌ها هستند و بانک‌ها و مؤسسات مالی اغلب از سیستم‌های پیشرفته‌تری برای تشخیص معاملات مشکوک و کلاهبرداری از طریق تلفن‌های همراه پیاده‌سازی می‌کنند. سیستم‌های حفاظتی مؤسساتی به میزانی است که کلاهبرداری‌های ثبت شده در شبکه جهانی ویزا کارت، کمتر از 0.1 درصد است.

استقبال خیلی خوب از پیش‌فروش آیفون‌های سری 13 در چین، باعث کند شدن سایت این شرکت شد

طبق صحبت‌هایی که محققان در گفت‌وگوی خود با وب‌سایت ZDNet داشته‌اند، آنان چندین بار با کمپانی‌های اپل و ویزا در ارتباط با این باگ امنیتی صحبت کرده‌اند، اما مشکل همچنان پابرجاست. رادو، یکی از اعضای تیم، در محاسبه خود با این وب‌سایت اظهار داشت:

تحقیق ما یک مثال واضح از یک ویژگی را نشان می‌دهد که به‌منظور تسهیل زندگی، تأثیرات منفی برا امنیت و پیامد‌های مالی جدی برای کاربران به وجود می‌آورد!

وی افزود:

مذاکرات ما با کمپانی‌های اپل و ویزا نشان داد، درحالی‌که هردو طرف به نحوی مقصر این مشکل هستند، هیچکدام حاضر نیستند مسئولیت خود را بپذیرند و راه حلی برای این مسئله بیایند.

در گفت‌وگویی وب‌سایت ZDNet، کمپانی ویزا اظهار داشت که این نوع حملات اتفاق جدیدی نیست و مشتریان نباید نگرانی چندانی در رابطه با آن داشته باشند. به گفته این شرکت، انواع طرح‌های کلاهبرداری بدون تماس در محیط آزمایشگاه، برای بیش از یک دهه مورد مطالعه قرار گرفته‌اند و ثابت شده است که در دنیای واقعی و مقیاس‌های بزرگ‌تر، هرگز قابل اجرا نیستند. ویزا همه تهدیدات امنیتی را بسیار جدی می‌گیرد و ما خستگی ناپذیر برای تقویت امنیت پرداخت در سراسر اکوسیستم خود تلاش می‌کنیم.

این نقص امنیتی توسط محققان دانشگاه بیرمنگام و ساری در بریتانیا کشف شده است؛ به گفته آنان، این مقاله که توسط نویسندگانی چون، ایوانا بوریانو، آندریا-اینا رادو و برخی دیگر نوشته شده است،  قرار است در سمپوزیوم امنیت و حریم خصوصی IEEE 2022 منتشر شود.

در ادامه می‌توانید نحوه عملکرد این حمله با استفاده از باگ موجود در اپل پی را مشاهده کنید.

  • اشتراک با دوستان

در بحث شرکت کنید

guest
0 نظرات
بازخورد (Feedback) های اینلاین
مشاهده تمام نظرات

مطالب مرتبط