محققان بریتانیایی از باگ امنیتی سیستم پرداخت اپل‌پی و کارت‌های ویزا خبر می‌دهند

تیمی از محققان امنیتی در بریتانیا، باگ‌های مربوط به کارت‌های ویزای ثبت شده و پلتفرم پرداخت اپل‌پی را مورد بررسی قرار داده و متوجه شدند که هکرها می‌توانند از طریق باگ‌های امنیتی بدون نیاز به باز کردن قفل آیفون، پرداخت‌ کنند.

طبق تحقیقات انجام شده، این نقض زمانی رخ می‌دهد که کارت‌های ویزا کاربران در حالت Express Transit اپل در آیفون تنظیم شده باشند. این نقض باعث می‌شود هکرها از قفل گوشی‌های آیفون عبور کرده و بدون رمز عبور پرداخت‌های بدون ارتباطی انجام دهند. حالت اکسپرس ترانزیت اپل به کاربران این امکان را می‌دهد تا با استفاده از کارت اعتباری، بدهی یا کارت ترانزیت و بدون باز کردن قفل دستگاه خود هزینه‌های عبور و مرور را پرداخت کنند.

به گفته محققان، این آسیب‌پذیری فقط روی کارت‌های ویزا ذخیره شده در کیف پول تاثیر می‌گذارد و دلیل اصلی آن کد‌های منحصر به فردی است که از طریق دروازه‌های ترانزیت به گوشی آیفون اجازه می‌دهد قفل اپل پی را باز کند.

محققان با استفاده از تجهیزات رادیویی رایج، توانستند یک حمله برنامه‌ریزی شده را انجام دهند که باعث فریب گوشی آیفون با این تصور که در دروازه ترانزیت قرار دارد شود. آزمون اثبات ایده محققان شامل یک آیفون با حالت اکسپرس ترانزیت فعال بود که امکان پرداخت جعلی به یک دستگاه دیگر را فراهم کرد.

با این وجود، محققان خاطر نشان کردند که این جمله چندان عملی به نظر نمی‌رسد. در واقع حتی اگر هکرها بتوانند آن را با موفقیت انجام دهند، بانک‌ها و موسسات مالی مکانیزم‌های دیگری دارند که با شناسایی معاملات مشکوک می‌توانند از انجام این تقلب جلوگیری کنند.

محققان برای اولین بار در اکتبر ۲۰۲۰ به اپل و در مه ۲۰۲۱ به ویزا هشدار داده بودند. با این حال، ویزا در بیانیه خود برای ZDNet عنوان کرد که این نوع حملات چیز جدیدی نیست و مشتریان نگرانی چندان زیادی نداشته باشند.