Brytyjscy informatycy odkryli sposób na zdalne przejęcie płatności zbliżeniowych Visa na iPhonie.
Prawidłowe dostarczenie exploita może pozwolić doświadczonemu hakerowi na wykonywanie dużych transakcji finansowych za pośrednictwem zablokowanego urządzenia dotykającego lub nawet znajdującego się w pobliżu.
Exploit został odkryty przez naukowców z Birmingham University i University of Surrey i wykorzystuje funkcję „Express a Apple Pay dla osób dojeżdżających do pracy”, informuje Express, który umożliwia użytkownikom dokonywanie płatności Visa i płatności zbliżeniowych przy biletach i innych barierach podróżnych, zasadniczo pozwala zablokować telefon przez okno samochodu, od zapłacić i odejść.
Atak wykorzystujący tę poręczną aplikację jest wprawdzie dość i nieco trudny do wyśledzenia, ale teoretycznie można sobie wyobrazić, że jest on używany w pewnym scenariuszu cyberataku o wysokiej stawce – potencjalnie skierowanym do osób bogatych.
Działa to w następujący sposób: „dostępny w handlu sprzęt radiowy” jest umieszczony w pobliżu telefonu, dzięki czemu urządzenie uważa, że napotyka bilet. Następnie aplikacja opracowana przez badaczy jest uruchamiana na telefonie z systemem Android i wykorzystywana do przekierowywania sygnałów iPhone’a do rzeczywistego terminala płatności zbliżeniowych znajdującego się prawdopodobnie w bezpiecznej odległości i kontrolowanych przestępców.
Stamtąd komunikacja telefonu z terminalem płatniczym może zostać zmieniona, co sprawia wrażenie, że transakcje zostały autoryzowane.
Chociaż to wszystko brzmi naprawdę skomplikowane, naukowcy najwyraźniej byli w stanie użyć tej metody do dokonania płatności w wysokości 1000 funtów za pomocą zablokowanego iPhone’a.