Toplu taşıma araçlarına girip çıkmak için Apple Pay’i kullanan taşıtlar, Visa ödeme kartlarından “sınırsız” miktarda para çalınma riskiyle karşı karşıya kalabilir.
İki İngiliz üniversitesinden araştırmacılar, bir Apple Pay kullanıcısının iPhone cüzdanlarında Visa kredi veya banka kartını “Express Transit” ödeme seçeneği olarak ayarlamasıyla oluşan bir güvenlik açığı tespit etti.
Güvenlik açığını gösteren bir videoda, araştırmacılar kilitli bir iPhone’dan 1.000 £ (1.158 €) temassız ödeme almayı başardılar.
Araştırmacılar, güvenlik açığının yalnızca Apple Pay ve Visa kombinasyonu kullanıldığında ortaya çıktığını söyledi. Diğer kombinasyonlar – örneğin, Apple Pay ve Mastercard veya Samsung Pay ve Visa – etkilenmedi.
“IPhone sahipleri Transit ödemeler için ayarlanmış bir Visa kartına sahip olup olmadıklarını kontrol etmeli ve eğer öyleyse, onu devre dışı bırakmalılar. Apple Pay kullanıcılarının tehlikede olmasına gerek yok, ancak Apple veya Visa bunu düzeltene kadar “dedi. Birmingham Üniversitesi’nden Tom Chothia.
Her iki şirket de Euronews Next’e, kusurun gerçek yaşam koşullarında kullanılmasının pek mümkün olmadığını söyledi.
Hata nasıl çalışıyor?
Güvenlik açığı, iPhone’un genellikle bir kullanıcının telefonunun kilidini açmasına veya ödemeyi onaylamasına gerek kalmadan toplu taşıma araçlarına girip çıkmasına izin vermek için kullanılan Ekspres Toplu Taşıma modundan yararlanır.
Araştırmacılar, bir iPhone’u bilet kapısıyla iletişim kurduğunu düşünmesi için kandırmak için basit radyo ekipmanı kullanabileceklerini ve böylece Ekspres Taşıma modunu etkinleştirebileceklerini keşfettiler.
Ancak güvenlik açığının yamalanmamış olduğunu söylüyorlar.
“Çalışmamız, hayatı aşamalı olarak kolaylaştıran, geri tepen ve güvenliği olumsuz etkileyen ve kullanıcılar için potansiyel olarak ciddi mali sonuçlar doğuran bir özelliğin açık bir örneğini gösteriyor.” Birmingham Üniversitesi araştırma lideri Andreea Radu dedi.
“Apple ve Visa ile yaptığımız görüşmelerde, iki sektör tarafının kısmen suçu olduğunda, ikisinin de sorumluluğu kabul etmeye ve bir düzeltme uygulamaya istekli olmadığını ve kullanıcıları süresiz olarak savunmasız bıraktığını ortaya çıkardı. ” diye ekledi.
Temassız dolandırıcılık ‘pratik değil’
Euronews Next, kusurun neden ele alınmadığını sormak için hem Apple hem de Visa ile iletişime geçti.
“Bu, Bir Apple sözcüsü yaptığı açıklamada, bir Visa sistemiyle ilgili bir endişe olduğunu ancak Visa’nın bu tür bir sahtekarlığın, birden fazla güvenlik katmanının mevcut olduğu göz önüne alındığında gerçek dünyada gerçekleşeceğine inanmadığını söyledi.
Olağandışı bir durumda yetkisiz bir ödemenin gerçekleşmesi durumunda Visa, kart sahiplerinin Visa’nın sıfır sorumluluk politikasıyla korunduğunu açıkça belirtti.” diye devam etti sözcü.
< div>
Euronews Next, araştırmacıların sorunu “hem Apple Pay hem de Visa sistemindeki kusurların bir kombinasyonu” olarak tanımladıklarına dikkat çekti ve şunları iddia etti: “Apple veya Visa bu saldırıyı kendi başlarına hafifletebilir”, ancak Apple daha fazla yorum yapmayı reddetti.