एक अंग्रेजी शोधकर्ता के मुताबिक, एक स्पष्ट भेद्यता कहा जाता है जिसका उपयोग लॉक किए गए आईफोन से पैसे चोरी करने के लिए किया जा सकता है जब ऐप्पल पे एक्सप्रेस ट्रांजिट के साथ वीज़ा कार्ड स्थापित किया जाता है। सोफोस की एक टिप्पणी।
आईटी में सुविधा और सुरक्षा अक्सर स्वतंत्रता और सुरक्षा के समान तरीके से संबंधित होती है। एक दूसरे की कीमत पर ही आता है। एक मौजूदा उदाहरण ऐप्पल पे "एक्सप्रेस ट्रांजिट" कार्यक्षमता है: ब्लॉकिंग कोड के बावजूद छोटी राशि का भुगतान आसानी से किया जा सकता है। लेकिन ताजा रिपोर्ट्स के मुताबिक इसका घातक फायदा उठाया जा सकता है। पॉल डकलिन, सोफोस सुरक्षा विशेषज्ञ, समस्या की व्याख्या करते हैं।
अंग्रेजी शोधकर्ता iPhone भेद्यता पाता है
यूके के शोधकर्ताओं द्वारा अभी तक प्रकाशित एक पेपर ने ऐप्पल पे के बारे में अपने नाटकीय दावों के लिए सितंबर के अंत में सुर्खियां बटोरीं: एक स्पष्ट भेद्यता एक लॉक किए गए आईफोन से पैसे चोरी करने की अनुमति देती है जब ऐप्पल पे एक्सप्रेस ट्रांजिट के साथ वीज़ा कार्ड स्थापित किया जाता है। .
एक्सप्रेस ट्रांजिट के बारे में कभी नहीं सुना? यह उन चतुर विचारों में से एक है जो सुविधा के लिए साइबर सुरक्षा का त्याग करता है। सीधे शब्दों में कहें, तो यह सुविधा फोन के लॉक होने पर भी कुछ प्रकार के टच-टू-पे लेनदेन करने की अनुमति देती है - जब तक कि एक्सप्रेस ट्रांज़िट सक्षम है।
Apple भुगतान भुगतान सिद्धांत: आगे की स्वीकृति के बिना भुगतान करें
एक्सप्रेस ट्रांजिट के साथ, ऐप्पल पे और आईफोन एक नियमित क्रेडिट कार्ड की तरह काम करते हैं, जिन्हें कम मूल्य के लेनदेन के लिए पिन कोड से अनलॉक करने की आवश्यकता नहीं होती है। अधिकांश यूरोपीय देशों में यह सीमा 25 से 50 यूरो के बीच है।
स्मार्टफोन के जरिए एक्सप्रेस ट्रांजिट के जरिए भुगतान करना उतना ही आसान है। यदि लेन-देन का अनुरोध किया जाता है, तो इसके लिए केवल लॉक किए गए स्मार्टफोन पर एक साधारण क्लिक करना होता है और पैसा पहले से ही प्राप्तकर्ता के पास होता है। यह एक अंतिम क्लिक आसानी से अनजाने में हो सकता है यदि उपयोगकर्ता जल्दी से "क्लिक दूर" करता है क्योंकि वह वर्तमान में किसी और चीज में रुचि रखता है या यदि यह एक क्लिक किसी अजनबी द्वारा ध्यान नहीं दिया जाता है, उदाहरण के लिए एक कैफे में या भीड़ वाली ट्रेन में। क्योंकि क्रेडिट कार्ड के विपरीत, जिसे आप आमतौर पर अपने बटुए में रखते हैं और केवल तभी निकालते हैं जब भुगतान वास्तव में टर्मिनल पर देय होता है, मोबाइल फोन अधिक बार और स्पष्ट रूप से मौजूद होता है, उदाहरण के लिए एक मेज पर।
भुगतान पिन कोड, फिंगरप्रिंट या चेहरे की पहचान को धता बताता है
ताकि स्मार्टफोन का दुरुपयोग न हो सके, हम आमतौर पर इसे एक पिन कोड या वैकल्पिक प्रमाणीकरण तंत्र जैसे कि फिंगरप्रिंट या चेहरे की पहचान के साथ लॉक कर देते हैं। दुर्भाग्य से, उपयोगकर्ता लॉक स्क्रीन पर फोन की सुविधाओं को अनलॉक करना जारी रखते हैं, जिससे लॉक स्क्रीन को पहली बार प्रदान करने के लिए डिज़ाइन की गई सुरक्षा को कम कर दिया जाता है - चाहे वह फ़ोन लॉक होने पर सूचनाएं और व्यक्तिगत संदेश दिखा रहा हो या फोन के उपयोग का लाभ उठाने के लिए नहीं। ऐप्पल पे एक्सप्रेस ट्रांज़िट सुविधा।
अभी तक प्रकाशित होने वाले काम के पीछे शोधकर्ताओं का दावा है कि वे सावधानी से तैयार परिस्थितियों में धोखाधड़ी वाले भुगतान करने में आईफोन को धोखा देने में सक्षम थे। उन्होंने अपना स्वयं का भुगतान टर्मिनल स्थापित किया और इसे सार्वजनिक ट्रांजिट कंपनी के रूप में प्रच्छन्न किया जो एक्सप्रेस ट्रांजिट भुगतान प्रणाली का हिस्सा था।
शोधकर्ताओं ने शायद 1.000 यूरो तक की कटौती की!
जाहिरा तौर पर वे केवल वीज़ा कार्ड खातों के साथ चोरी करने में कामयाब रहे (संभवतः अन्य भुगतान प्रदाता यह तय करने में सख्त थे कि क्या भुगतान टर्मिनल एक्स वास्तव में कंपनी वाई से संबंधित है), और इससे भी बदतर: भुगतान लगभग 50 यूरो की सामान्य सीमा तक सीमित नहीं थे। शोधकर्ताओं का दावा है कि एक कपटपूर्ण भुगतान टर्मिनल का उपयोग करके, वे €1.000 से अधिक का लेनदेन करने में सक्षम थे।
ऐप्पल पे एक्सप्रेस ट्रांज़िट: क्या करें?
इस नाटकीय परिणाम के बावजूद, iPhone मालिकों को घबराने की ज़रूरत नहीं है, लेकिन रिपोर्ट उनके अपने स्मार्टफ़ोन के उपयोग पर पुनर्विचार करने का एक कारण है। आम तौर पर, उपयोगकर्ताओं को उन अपवादों के बारे में दो बार सोचना चाहिए जिनकी वे लॉक किए गए फ़ोन पर अनुमति देते हैं। क्या वास्तव में हर क्रिया के साथ लॉक कोड दर्ज करना एक बोझ है? अगर आपका जवाब हां है, तो आपको जोखिमों के साथ जीना होगा। उन सभी के लिए जो अनलॉक प्रक्रिया के साथ अधिक सुरक्षित महसूस करते हैं, यहां कुछ और सुझाव दिए गए हैं:
- वेविंग एक्सप्रेस ट्रांज़िट और लॉक स्क्रीन पर सक्रिय अन्य सभी सुविधाएँ। ये विकल्प अनिवार्य रूप से सुविधा के लिए सुरक्षा का त्याग करते हैं।
- वीजा कार्ड के संयोजन में एक्सप्रेस ट्रांजिट से फिलहाल बचना चाहिए। वीज़ा के प्रति निष्पक्ष होने के लिए, हम मानते हैं कि पर्याप्त प्रयास के साथ, अन्य भुगतान प्रदाताओं के लिए भी इसी तरह की बाईपास तरकीबें खोजी जा सकती हैं। यदि आप वास्तव में चिंतित हैं और एक्सप्रेस ट्रांज़िट के बिना नहीं रह सकते हैं, तो आपको एक मध्यम शेषराशि वाला प्रीपेड डेबिट कार्ड सेट करना चाहिए। कम से कम तब चोरी केवल क्रेडिट के लिए ही संभव है और क्रेडिट कार्ड की क्रेडिट लाइन के लिए नहीं।
- अपने फोन को कभी भी अकेला न छोड़ें और जब आप इसका इस्तेमाल कर रहे हों तभी इसे बाहर निकालें। अन्यथा, इसे अपने हाथ में पकड़ें या अपनी जेब में रखें।
- सबसे अच्छा संभव लॉक कोड और कम से कम ऑटो-लॉक अवधि का उपयोग करना चाहिए। एक बंद फोन एक मामूली असुविधा है, लेकिन स्कैमर्स के लिए एक बड़ी बाधा है, यहां तक कि तकनीक की समझ रखने वालों के लिए भी। दूसरी ओर, एक खुला फोन, किसी के लिए भी एक खुला लक्ष्य है, यहां तक कि छोटे से छोटा अपराधी भी।
- बैंक और भुगतान कार्ड विवरण नियमित रूप से जांचें। नियमित और पूर्वानुमेय भुगतानों के लिए एक्सप्रेस ट्रांज़िट का उपयोग करते समय, उदाहरण के लिए सार्वजनिक परिवहन पर, असामान्य बुकिंग का पता लगाना आसान होता है।
सोफोस के बारे में सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।