محققان امنیتی به تازگی یک آسیبپذیری در سرویس پرداخت اپل (Apple Pay) شناسایی کردهاند که مهاجمان میتوانند با سوءاستفاده از آن در گوشیهای آیفون قفل شده و با بهرهبرداری از قابلیت Express Travel در کیف پول دستگاهها، پرداختهای غیرمجاز انجام دهند.
در این روش حمله، تنها چیزی که مهاجم برای انجام پرداختهای غیرمجاز نیاز دارد، یک گوشی آیفون سرقتی است. اما باید توجه داشت که انجام تراکنشهای غیرمجاز با استفاده از این روش حمله، بدون نیاز به تعامل بوده و هنگامی که گوشی آیفون قربانی در کیف یا جیب او قرار دارد نیز امکانپذیر است.
ویژگی Express Travel، قابلیتی است که به کاربران آیفون و ساعتهای اپل اجازه میدهد پرداختهای سریع را بدون باز کردن قفل محافظ صفحه موبایل یا ساعت، همچنین بدون نیاز به باز کردن برنامه و تایید هویت انجام دهند.
براساس اطلاعات موجود، شرکتهای اپل و همچنین ویزا به ترتیب در اکتبر ۲۰۲۰ و ماه می ۲۰۲۱ در مورد این آسیبپذیری هشدار دادهاند و هر دو طرف جدی بودن این آسیبپذیری را تصدیق کردهاند؛ با این حال درباره اینکه کدام طرف باید اصلاحیه امنیتی مرتبط با این آسیبپذیری را انجام دهد به توافق نرسیدهاند.
توضیحات بیشتر:
- Apple Pay Can be Abused to Make Contactless Payments From Locked iPhones