Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Как iPhone позволяет запустить платеж

42
1 мин
Широкое обсуждение в сети вызвала уязвимость в iPhone, которая при определённых условиях позволяет инициировать NFC-платёж с заблокированного устройства и списать до 10 000 долларов. История всплыла после видео на канале Veritasium, где разобрали атаку, обнаруженную ещё в 2021 году исследователями Иоаной Буряну и Томом Чотия. Корень проблемы в режиме Express Transit, который позволяет проводить оплату без разблокировки телефона. Исследователи показали, что смартфон можно обмануть, выдав поддельный терминал за систему оплаты транспорта. Дальше в ход идёт инженерный трюк, который позволяет обойти дополнительные механизмы защиты и заставить систему инициировать перевод средств. Сумма до 10 000 долларов в демонстрации звучит эффектно и сразу делает кейс вирусным. Вся история при этом больше напоминает лабораторный эксперимент, чем готовый инструмент для улицы. Схема работает только если в настройках Express Transit выбрана карта Visa, для Mastercard и других платёжных систем она не подходи
Изображение: Malte Helmhold (unsplash)
Изображение: Malte Helmhold (unsplash)

Широкое обсуждение в сети вызвала уязвимость в iPhone, которая при определённых условиях позволяет инициировать NFC-платёж с заблокированного устройства и списать до 10 000 долларов. История всплыла после видео на канале Veritasium, где разобрали атаку, обнаруженную ещё в 2021 году исследователями Иоаной Буряну и Томом Чотия. Корень проблемы в режиме Express Transit, который позволяет проводить оплату без разблокировки телефона.

Исследователи показали, что смартфон можно обмануть, выдав поддельный терминал за систему оплаты транспорта. Дальше в ход идёт инженерный трюк, который позволяет обойти дополнительные механизмы защиты и заставить систему инициировать перевод средств. Сумма до 10 000 долларов в демонстрации звучит эффектно и сразу делает кейс вирусным.

Вся история при этом больше напоминает лабораторный эксперимент, чем готовый инструмент для улицы. Схема работает только если в настройках Express Transit выбрана карта Visa, для Mastercard и других платёжных систем она не подходит.

Реализация требует специфических условий, правильного оборудования и контроля над процессом, и повторить такой трюк в обычной жизни крайне сложно, что сильно снижает практическую ценность атаки.

В Apple заявили, что корень проблемы связан с особенностями работы на стороне Visa. В самой платёжной системе ответили, что пользователи защищены политикой нулевой ответственности и возможный ущерб компенсируется. Там также считают подобный сценарий крайне маловероятным за пределами исследовательской среды.

Получается классическая история из мира мобильной безопасности, где уязвимость технически существует, демонстрация выглядит впечатляюще, но реальный риск для большинства пользователей остаётся минимальным. Такие находки хорошо показывают, насколько сложными стали современные платёжные системы и сколько нюансов спрятано в привычных функциях смартфона.

Оригинал публикации на сайте CISOCLUB: "В iPhone нашли уязвимость, через которую можно списать деньги с заблокированного телефона".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Финансовые мошенничества
343 тыс интересуются