Bir İngiliz araştırmacıya göre, Apple Pay Express Transit ile bir Visa kartı ayarlandığında kilitli bir iPhone'dan para çalmak için kullanılabilecek bariz bir güvenlik açığı olduğu söyleniyor. Sophos'tan bir yorum.
BT'de kolaylık ve güvenlik, genellikle özgürlük ve güvenlikle benzer şekilde ilişkilidir. Biri sadece diğerinin pahasına gelir. Güncel bir örnek, Apple Pay "Express Transit" işlevidir: engelleme koduna rağmen küçük miktarlar rahatlıkla ödenebilir. Ancak son raporlara göre, bu ölümcül bir şekilde istismar edilebilir. Sophos güvenlik uzmanı Paul Ducklin sorunu açıklıyor.
İngiliz araştırmacı iPhone güvenlik açığı buldu
İngiliz araştırmacılar tarafından henüz yayınlanmamış bir makale, Eylül ayı sonlarında Apple Pay hakkındaki çarpıcı iddialarıyla manşetlere taşındı: Apple Pay Express Transit ile bir Visa kartı ayarlandığında, görünür bir güvenlik açığı, kilitli bir iPhone'dan paranın çalınmasına izin veriyor. .
Ekspres Transit'i hiç duymadınız mı? Kolaylık için siber güvenliği feda eden zekice fikirlerden biri. Basitçe ifade etmek gerekirse, bu özellik, Ekspres Geçiş etkin olduğu sürece, telefon kilitliyken bile bazı dokunmatik ve ödemeli işlemlerin gerçekleştirilmesine olanak tanır.
Apple Pay ödeme ilkesi: Daha fazla onay almadan ödeme yapın
Express Transit ile Apple Pay ve iPhone, düşük değerli işlemler için bir PIN koduyla kilidinin açılmasına gerek olmayan normal bir kredi kartı gibi çalışır. Çoğu Avrupa ülkesinde bu sınır 25 ile 50 avro arasındadır.
Ekspres Transit ile akıllı telefon üzerinden ödeme yapmak da bir o kadar kolay. Bir işlem talep edilirse, tek yapmanız gereken kilitli akıllı telefona basit bir tıklama ve para zaten alıcıda. Bu son bir tıklama, kullanıcı o anda başka bir şeyle ilgilendiği için bir şeyi hızlı bir şekilde "tıklar"sa veya bu tek tıklama, örneğin bir kafede veya kalabalık bir trende bir yabancı tarafından fark edilmeden tetiklenirse, kolayca istemeden gerçekleşebilir. Çünkü genellikle cüzdanınızda bulundurduğunuz ve yalnızca ödeme vadesi geldiğinde terminalde çıkardığınız kredi kartının aksine, cep telefonu çok daha sık ve örneğin bir masanın üzerinde görünür şekilde bulunur.
Ödeme, PIN kodu, parmak izi veya yüz tanımaya meydan okuyor
Akıllı telefonun kötüye kullanılmaması için genellikle bir pin koduyla veya parmak izi veya yüz tanıma gibi alternatif bir kimlik doğrulama mekanizmasıyla kilitleriz. Ne yazık ki, kullanıcılar kilit ekranında telefon özelliklerinin kilidini açmaya devam ederek, ister telefon kilitliyken bildirimleri ve kişisel mesajları gösteriyor isterse de kullanımdan yararlanmamak olsun, kilit ekranının sağlamak için tasarlandığı güvenliği azaltıyor. Apple Pay Express Transit özelliği.
Henüz yayınlanmayan çalışmanın arkasındaki araştırmacılar, şimdi, dikkatlice hazırlanmış koşullar altında iPhone'ları hileli ödemeler yapmaları için kandırabildiklerini iddia ediyorlar. Kendi ödeme terminallerini kurdular ve Express Transit ödeme sisteminin bir parçası olan toplu taşıma şirketi kılığına girdiler.
Araştırmacılar muhtemelen 1.000 avroya kadar kesinti yaptı!
Görünüşe göre sadece Visa kart hesaplarıyla çalmayı başardılar (muhtemelen diğer ödeme sağlayıcıları, X ödeme terminalinin gerçekten Y şirketine ait olup olmadığına karar vermede daha katıydı) ve daha da kötüsü: ödemeler, yaklaşık 50 Euro'luk olağan limitle sınırlı değildi. Araştırmacılar, hileli bir ödeme terminali kullanarak 1.000 Euro'nun üzerinde işlem yapabildiklerini iddia ediyorlar.
Apple Pay Express Transit: ne yapmalı?
Bu dramatik sonuca rağmen, iPhone sahiplerinin paniğe kapılmasına gerek yok, ancak rapor, kendi akıllı telefonlarını kullanmayı yeniden düşünmeleri için bir neden. Genel olarak, kullanıcılar kilitli telefonda izin verdikleri istisnalar hakkında iki kez düşünmelidir. Her işlemde kilit kodunu girmek zorunda olmak gerçekten bir yük mü? Cevabınız evet ise, risklerle yaşamak zorundasınız. Kilit açma işlemiyle kendini daha güvende hisseden diğer herkes için işte birkaç ipucu daha:
- Feragat Ekspres Transit ve kilit ekranında aktif olan diğer tüm özellikler. Bu seçenekler kaçınılmaz olarak rahatlık için güvenliği feda eder.
- Şu an için bir Visa kartıyla birlikte Ekspres Geçişten kaçınılmalıdır. Visa'ya adil olmak gerekirse, yeterli çabayla diğer ödeme sağlayıcıları için de benzer baypas hilelerinin bulunabileceğini varsayıyoruz. Gerçekten endişeleniyorsanız ve Ekspres Transit olmadan yaşayamıyorsanız, makul bir bakiye ile ön ödemeli bir banka kartı oluşturmalısınız. En azından o zaman bir kredi kartının kredi limiti için değil, sadece kredi için hırsızlık mümkündür.
- Telefonunuzu asla gözetimsiz bırakmayın ve yalnızca kullanırken çıkarın. Aksi takdirde, elinizde tutun veya cebinizde bulundurun.
- Mümkün olan en iyi kilit kodu ve en kısa otomatik kilitlenme süresi kullanılmalıdır. Kilitli bir telefon, küçük bir rahatsızlıktır ancak dolandırıcılar, hatta teknolojiden anlayanlar için bile büyük bir engeldir. Öte yandan, kilidi açılmış bir telefon herkes için, en basit suçlular için bile açık bir hedeftir.
- Banka ve ödeme kartı ekstrelerini düzenli olarak kontrol edin. Düzenli ve tahmin edilebilir ödemeler için Ekspres Transit kullanırken, örneğin toplu taşımada, anormal rezervasyonları tespit etmek kolaydır.
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.