Μια ερευνητική ομάδα από το Πανεπιστήμιο του Νότιγχαμ έχει φέρει στο φως μια ανησυχητική αδυναμία στις ανέπαφες πληρωμές των iPhones, αποδεικνύοντας ότι σε συγκεκριμένες συνθήκες, είναι δυνατόν να πραγματοποιηθεί κάρτα πληρωμών χωρίς την απαραίτητη επιβεβαίωση από τον χρήστη.
Η Δοκιμή και ο Μηχανισμός της Επίθεσης
Στο πλαίσιο του πειράματος, οι ερευνητές χρησιμοποίησαν μια προσαρμοσμένη συσκευή που μιμούνταν τερματικό πληρωμών. Το iPhone τοποθετήθηκε στη συσκευή και, μέσα σε δευτερόλεπτα, πραγματοποιήθηκε χρέωση αρχικά ενός μικρού ποσού και στη συνέχεια, αρκετά μεγαλύτερου, έως και 10.000 δολάρια. Το πιο ανησυχητικό ήταν ότι η επίθεση πραγματοποιήθηκε με την οθόνη παραμένουσα κλειδωμένη, παρακάμπτοντας τις συνήθεις ασφάλειες όπως το Face ID ή το PIN.
Η μέθοδος που χρησιμοποίησαν οι ερευνητές βασίζεται σε μια τεχνική γνωστή ως man-in-the-middle, όπου οι επιτιθέμενοι ενδιάμεσα παρεμβαίνουν στην επικοινωνία μεταξύ του smartphone και του τερματικού, υποκλέπτοντας και τροποποιώντας τα δεδομένα που ανταλλάσσονται σε πραγματικό χρόνο. Έτσι, τόσο το iPhone όσο και το POS νομίζουν ότι επικοινωνούν απευθείας, ενώ στην πραγματικότητα η πληροφορία επεξεργάζεται από τρίτους.
Ποιοι Μηχανισμοί Επιτρέπουν την Επίθεση
Για να είναι δυνατή η επίθεση, οι ερευνητές εκμεταλλεύτηκαν τη λειτουργία Express Transit Mode, η οποία επιτρέπει ανέπαφες πληρωμές χωρίς να ζητείται το ξεκλείδωμα του κινητού. Χάρη σε ειδική παραποίηση των σημάτων, το iPhone παρεμποδίζεται να πιστεύσει ότι βρίσκεται μπροστά σε τερματικό συγκοινωνίας, παρακάμπτοντας τις απαιτούμενες διαδικασίες επαλήθευσης.
Μετά την αρχική παραπλάνηση, οι ερευνητές είναι σε θέση να τροποποιήσουν την ένδειξη που καθορίζει εάν μια συναλλαγή θεωρείται χαμηλής ή υψηλής αξίας. Με αλλαγές σε ένα απλό flag, ακόμη και ακόμη και μεταβιβάζοντας πολλές χιλιάδες ευρώ μπορεί να εμφανιστεί ως χαμηλής αξίας, αποφεύγοντας έτσι οποιαδήποτε αναγκαία επιβεβαίωση.
Η Σημασία της Κρυπτογράφησης
Ένας από τους βασικούς λόγους που καθιστούν εφικτή την επίθεση είναι ότι μέρος της επικοινωνίας μεταξύ του iPhone και του τερματικού δεν είναι πλήρως κρυπτογραφημένο. Αυτό οφείλεται στην ανάγκη συμβατότητας με διεθνή συστήματα πληρωμών. Για περισσότερες πληροφορίες σχετικά με την κρυπτογράφηση, μπορείτε να ανατρέξετε σε σχετική [έρευνα του IEEE](https://ieeexplore.ieee.org/document/8365602).
Σημαντικά Ερωτήματα και Συστάσεις Ασφαλείας
Η Apple απέδωσε την ευπάθεια στο σύστημα της Visa, ενώ η Visa έχει δηλώσει ότι τέτοιες περιπτώσεις είναι εξαιρετικά σπάνιες, με πολιτικές επιστροφής χρημάτων για τις περιπτώσεις απάτης. Παρ’ όλα αυτά, η πιθανότητα να αντιμετωπίσει κανείς μια μεγάλη χρέωση χωρίς να έχει προβεί σε κάποια ενέργεια παραμένει ανησυχητική.
Προτάσεις για Προστασία
- Απενεργοποιήστε τη λειτουργία Express Transit Mode όταν δεν τη χρειάζεστε.
- Ελέγξτε τις κάρτες σας που έχουν οριστεί για ανέπαφες πληρωμές.
- Παρακολουθείτε τις τραπεζικές σας συναλλαγές τακτικά.
Αυτή η περίπτωση δεν σημαίνει απαραίτητα ότι οι ανέπαφες πληρωμές είναι ανασφαλείς, αλλά υποδεικνύει ότι ακόμα και οι πιο εξελιγμένες τεχνολογίες ενδέχεται να αντιμετωπίζουν αδυναμίες, ειδικά όταν η ευκολία έρχεται σε σύγκρουση με την ασφάλεια. Το κρίσιμο ερώτημα είναι πόσο αποδεκτό είναι το ρίσκο αυτό σε ένα σύστημα που διαχειρίζεται καθημερινά δισεκατομμύρια συναλλαγές παγκοσμίως.
Για περισσότερες πληροφορίες σχετικά με την ασφάλεια των ανέπαφων πληρωμών, μπορείτε να ανατρέξετε σε [δημοσίευση της Kaspersky](https://www.kaspersky.com/resource-center/definitions/contactless-payments).
