Новое видео с YouTube-канала Veritasium раскрывает уязвимость безопасности iPhone, о которой впервые сообщили в 2021 году. Тогда на нее обратили внимание эксперты по безопасности из университетов Суррея и Бирмингема. Apple и Visa до сих пор ее не устранили.
Изображение: скриншот youtube.com/VeritasiumСуть проблемы заключается в «экспресс-режиме» для платежных карт. Этот режим предназначен для быстрой покупки билетов в общественном транспорте простым поднесением телефона к терминалу, исключая необходимость использования Face ID или других методов проверки. Решение призвано упростить перевод небольших сумм денег.

Проблема в том, что эта система несовместима с системой Visa. Если карта Visa зарегистрирована в системе, можно использовать простое беспроводное устройство и код для снятия любой желаемой суммы денег.

Уязвимость безопасности не может быть использована с картами других провайдеров, таких как Mastercard. Для взлома iPhone злоумышленники сначала помещают на NFC-считыватель компактный электронный прибор Proxmark, который можно приобрести за $40–60. Смартфон распознает эту плату как считыватель проездных карт и отправляет данные транзакции, которые затем попадают на ноутбук хакеров. Там загружается скрипт на Python для обработки этих данных.

Затем код отправляется на второй смартфон. Этот телефон имитирует iPhone жертвы и теперь может быть приложен к настоящему считывателю карт для совершения платежа. В этом случае считыватель карт взаимодействует с iPhone жертвы вместо второго смартфона и инициирует транзакцию. Перевод завершается и отображается в виде уведомления на телефоне.

В реалистичном сценарии мошенники могли бы пройти мимо жертв с NFC-считывателем и поднести его к их iPhone, например, если смартфон находится у них в кармане. Затем они могли бы использовать модифицированный второй смартфон для совершения покупок в магазине. Это также можно сделать с украденными iPhone.

Хотя уязвимость в системе безопасности стала известна еще в 2021 году, ни Apple, ни Visa до сих пор не предприняли никаких действий. Самый простой способ защитить себя — вообще не активировать режим экспресс-оплаты или не использовать его с картой Visa. Apple сообщила блогеру Veritasium, что очень серьезно относится к уязвимостям в системе безопасности, но что взлом не является реалистичным сценарием, который мог бы произойти в реальности: