英国の研究者によると、Visa カードが Apple Pay Express Transit に設定されている場合、ロックされた iPhone からお金を盗むために使用できる明らかな脆弱性があると言われています。 ソフォスからのコメント。
IT における利便性とセキュリティは、多くの場合、自由とセキュリティと同様に関連しています。 一方は他方を犠牲にするだけです。 現在の例は、Apple Pay の「Express Transit」機能です。ブロック コードにもかかわらず、少額を便利に支払うことができます。 しかし、最新のレポートによると、これは致命的に悪用される可能性があります。 ソフォスのセキュリティ エキスパートである Paul Ducklin がこの問題について説明します。
英国の研究者がiPhoneの脆弱性を発見
Apple Pay に関する劇的な主張で、英国の研究者によるまだ発表されていない論文が XNUMX 月下旬に見出しを飾りました。Visa カードが Apple Pay Express Transit で設定されている場合、明らかに脆弱性により、ロックされた iPhone からお金が盗まれる可能性があります。 .
Express Transit について聞いたことがありませんか? これは、利便性のためにサイバーセキュリティを犠牲にする賢いアイデアの XNUMX つです。 簡単に言えば、この機能を使用すると、電話がロックされていても、Express Transit が有効になっている限り、一部の種類の touch-to-pay トランザクションを実行できます。
Apple Pay の支払い原則: さらなる承認なしに支払う
Express Transit では、Apple Pay と iPhone は通常のクレジット カードのように機能し、少額の取引では PIN コードでロックを解除する必要がありません。 ほとんどのヨーロッパ諸国では、この制限は 25 ~ 50 ユーロです。
Express Transit のスマートフォン経由での支払いも同様に簡単です。 取引が要求された場合、必要なのはロックされたスマートフォンをクリックするだけで、お金はすでに受取人にあります。 このラスト ワン クリックは、ユーザーが別のことに興味を持っているために何かをすばやく「クリックして離す」場合や、たとえばカフェや混雑した電車の中で見知らぬ人に気づかれずにこのワン クリックがトリガーされた場合に、意図せずに簡単に発生する可能性があります。 通常、財布に入れておき、端末での支払いが実際に行われるときにのみ取り出すクレジットカードとは対照的に、携帯電話は、たとえばテーブルの上など、はるかに頻繁かつ目に見える場所にあります。
支払いはPINコード、指紋、または顔認識に逆らいます
スマートフォンが誤用されないように、通常、PIN コードまたは指紋や顔認識などの代替認証メカニズムを使用してロックします。 残念ながら、ユーザーはロック画面で電話機能のロックを解除し続け、ロック画面がそもそも提供するように設計されているセキュリティを低下させます。電話がロックされている間に通知や個人的なメッセージを表示するか、 Apple Pay Express Transit 機能。
まだ公開されていない研究の背後にいる研究者は、慎重に準備された状況下で、iPhone をだまして不正な支払いをさせることができたと主張しています。 彼らは独自の決済端末を設置し、Express Transit 決済システムの一部である公共交通機関に偽装しました。
研究者は、おそらく最大 1.000 ユーロを控除しました。
どうやら、彼らは Visa カードのアカウントでのみ盗むことができたようで (おそらく、他の決済プロバイダーは、決済端末 X が本当に会社 Y に属しているかどうかを判断する際により厳格でした)、さらに悪いことに、支払いは通常の約 50 ユーロの制限によって制限されませんでした。 研究者は、不正な決済端末を使用することで、最大 1.000 ユーロ以上の取引を行うことができたと主張しています。
Apple Pay Express Transit: どうすればいいですか?
この劇的な結果にもかかわらず、iPhone の所有者はパニックに陥る必要はありませんが、レポートは自分のスマートフォンの使用を再考する理由になります。 一般に、ユーザーは、ロックされた電話で許可する例外についてよく考える必要があります。 アクションごとにロックコードを入力しなければならないのは本当に負担ですか? はいと答えた場合、リスクを負わなければなりません。 ロック解除プロセスでより安全に感じる他のすべての人のために、いくつかのヒントを次に示します。
- Express Transit と、ロック画面でアクティブになっている他のすべての機能を放棄します。 これらのオプションは、利便性のために必然的にセキュリティを犠牲にします。
- Visaカードと組み合わせたExpress Transitは、当面避けるべきです。 Visa に公平を期すために、十分な努力をすれば、他の決済プロバイダーでも同様のバイパス トリックが見つかる可能性があると考えています。 Express Transit なしでは生活できないほどの不安がある場合は、適度な残高のプリペイド デビット カードを設定する必要があります。 少なくとも、盗難はクレジット カードのクレジット ラインではなく、クレジットに対してのみ可能です。
- 携帯電話から離れないでください。使用するときだけ取り出してください。 それ以外の場合は、手に持ったり、ポケットに入れたりしてください。
- 可能な限り最良のロック コードと最短の自動ロック期間を使用する必要があります。 ロックされた電話は、ささいな不便ですが、技術に精通した詐欺師にとっては大きなハードルです。 一方、ロックされていない電話は、最も単純な犯罪者でさえ、誰にとってもオープンな標的です.
- 定期的に銀行と支払いカードの明細書を確認してください。 エクスプレス トランジットを定期的かつ予測可能な支払いに使用する場合 (公共交通機関など)、異常な予約は簡単に見つかります。
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。