Onderzoekers van de Britse universiteiten van Birmingham en Surrey ontdekten een kwetsbaarheid in het contactloze betalingssysteem Apple Pay, waarmee u elk bedrag kunt opnemen van de bankkaart die eraan is gekoppeld zonder dat u de iPhone hoeft te ontgrendelen. Het experiment bevestigde dat de methode alleen werkt met Visa-bankkaarten.
Een kenmerk van het systeem Apple Betalen is dat het de transactie alleen onder bepaalde voorwaarden bevestigt. Om de betaling door te laten gaan, moet de eigenaar van de smartphone authenticatie ondergaan en de iPhone op drie manieren ontgrendelen: met Face ID, Touch ID of een wachtwoord.
De onderzoekers ontdekten echter dat de bescherming Apple Betalen kan worden omzeild met behulp van de ingebouwde Express Transit-functie, waarmee u geld kunt overboeken van een gekoppelde Visa-kaart zonder het apparaat te ontgrendelen. De functie Express Transit is in het systeem geïntroduceerd Apple Betaal in 2019 vanwege de onhandige noodzaak om de telefoon elke keer te ontgrendelen om te betalen voor reizen in hetzelfde openbaar vervoer.
“In combinatie met een Visa-kaart kan dit handig zijn om de bescherming van een vergrendelde iPhone te omzeilen. Met andere woorden: de aanvaller kan elk bedrag van de rekening van het slachtoffer overmaken zonder de smartphone te hoeven ontgrendelen”, leggen de onderzoekers uit. Om hun woorden te bewijzen, publiceerden experts een video waarin te zien was hoe ze een betaling van £1000 ontvingen via een vergrendelde iPhone zonder het wachtwoord ervan te kennen. Hiervoor gebruikten ze een mobiel apparaat van Proxmark dat fungeerde als kaartlezer en communiceerde met de iPhone van het denkbeeldige slachtoffer. Android- een apparaat dat als betaalterminal fungeerde. Volgens de gepubliceerde infographic werkt de methode van de experts volgens het ‘Man-in-the-Middle’-principe. Experts merken op dat deze kwetsbaarheid vandaag de dag nog steeds relevant is, dus gebruikers Apple Betalen met Visa-kaarten is zeker de moeite waard om deze functie te overwegen.
"Onze gesprekken met Apple en Visa hebben aangetoond dat wanneer beide partijen in de branche gedeeltelijk verantwoordelijk zijn voor een evenement, geen van beiden bereid is om verantwoordelijkheid te nemen en veranderingen door te voeren, waardoor gebruikers voor onbepaalde tijd kwetsbaar zijn", aldus Andrea Radu van de Universiteit van Birmingham.
Lees ook:
- Apple AirTag kan worden gebruikt voor hacking en gegevensdiefstal
- Moshi Sette Q Wireless Charging Review met Moshi Flekto-add-on voor Apple Bekijk de introductievideo
Dat zijn alle mythes over iOS-beveiliging.
In principe zie ik het zo. Voer de volgorde van acties in een of andere programmeur in zodat je niet de hele tijd met je handen knoeit, stop het apparaat in je tas en rijd tijdens de spits, druk de tas tegen de mobiele telefoons in de buitenzakken. Winst! Voor het geval dat, beschouw deze opmerking alstublieft als een bericht van een bezorgde burger aan het Department of Cyber Security. ;)