นักวิจัยได้ค้นพบข้อบกพร่องในการทำงานของฟีเจอร์ Express Transit ของ Apple กับบัตรชำระเงิน Visa ที่อาจอนุญาตให้แฮ็กเกอร์เรียกเก็บเงินจากบัญชี Visa ของคุณที่ตั้งค่าไว้ใน Apple Pay แม้ว่า iPhone ของคุณจะถูกล็อก
ตามBBC นักวิจัยในแผนกวิทยาการคอมพิวเตอร์ของมหาวิทยาลัยเบอร์มิงแฮมและมหาวิทยาลัยเซอร์รีย์สามารถชำระเงินวีซ่าแบบไม่ต้องสัมผัสได้ 1,000 ปอนด์จาก iPhone ที่ถูกล็อคโดยไม่ได้รับอนุญาตจากเจ้าของอุปกรณ์
ปัญหาที่ดูเหมือนว่าจะเกิดขึ้นเฉพาะกับบัตร Visa นั้นเกี่ยวข้องกับ Apple Pay Express Transit ซึ่งเป็นฟีเจอร์ที่ Apple เปิดตัวใน iOS 12 ที่ให้คุณชำระเงินแบบไม่ต้องสัมผัสจาก iPhone หรือ Apple ได้อย่างรวดเร็ว ดูโดยไม่ต้องปลดล็อกอุปกรณ์หรือเปิดบัตรชำระเงินด้วยตนเอง
แต่ผู้ใช้กำหนดให้ใช้วิธีการชำระเงินวิธีใดวิธีหนึ่งสำหรับใช้เฉพาะสำหรับการขนส่งด่วนในการตั้งค่า iPhone Wallet และ Apple Pay เมื่อ iPhone หรือ Apple Watch โบกมือใกล้สถานีชำระเงินสำหรับขนส่ง ค่าโดยสารที่เหมาะสมจะถูกหักจากบัตรชำระเงินนั้นโดยอัตโนมัติโดยไม่ต้องมีการอนุมัติ
เป็นคุณลักษณะที่มีประโยชน์มากสำหรับผู้เดินทางที่มีความวุ่นวาย เปิดให้บริการในเมืองต่างๆ ตั้งแต่ลอนดอนไปจนถึงนิวยอร์ก โดยที่ผู้ใช้ iPhone และ Apple Watch สามารถแตะอุปกรณ์เพื่อชำระค่าโดยสารได้อย่างรวดเร็วและง่ายดาย จากนั้นเดินทางต่อได้ทันที
ในขณะที่การขนส่งสาธารณะไม่จำเป็นต้องมีการอนุญาต สำหรับการชำระเงิน ระบบควรจะใช้เพื่อจัดการธุรกรรมที่มีขนาดเล็กเท่านั้น ซึ่งจะเป็นค่าปกติของค่าโดยสาร น่าเสียดาย ดูเหมือนว่า Apple กำลังพึ่งพาผู้ประมวลผลการชำระเงินเพื่อจัดหามาตรการต่อต้านการฉ้อโกงที่จำเป็น และดูเหมือนว่า Visa อาจไม่พร้อมสำหรับความท้าทาย
‘A Concern with a Visa system’
ตามรายงานของ BBC โฆษกของ Apple เล่าถึงปัญหาที่เกิดขึ้นบนไหล่ของ Visa โดยกล่าวว่า”ความกังวลเกี่ยวกับระบบ Visa ” และไม่ใช่ปัญหาของ Apple จริงๆ
ในขณะที่คุณอาจคิดว่า Apple ควรรับผิดชอบในการบังคับใช้ข้อจำกัดการชำระเงินสำหรับฟีเจอร์ต่างๆ เช่น Express Transit ก็ยังยุติธรรมที่จะบอกว่านั่นไม่ใช่งานที่แท้จริงในบริบทนี้และใน ความจริงแล้วข้อตกลงกับ Visa, Mastercard และอื่นๆ อาจขัดขวางไม่ให้ Apple มีส่วนร่วมในการอนุญาตการทำธุรกรรม เนื่องจากนั่นเป็นความรับผิดชอบของพวกเขาเท่านั้น
บทบาทของ Apple คือเพียงแค่ส่งข้อมูลไปยังเครือข่ายการชำระเงินและปล่อยให้พวกเขาจัดการกับมัน
เนื่องจากปัญหานี้มีเฉพาะกับ Visa — นักวิจัย ทดสอบสถานการณ์เดียวกันกับมาสเตอร์การ์ด แต่ “พบว่าวิธีการรักษาความปลอดภัยป้องกันการโจมตี” และแหล่งอื่นๆ ระบุว่าเครือข่ายการชำระเงินอื่นๆ เช่น American Express มีการป้องกันที่คล้ายกัน
นักวิจัยยังตั้งข้อสังเกตอีกว่า ติดต่อกับทั้ง Apple และ Visa เกือบหนึ่งปีที่ผ่านมาด้วยข้อกังวลเหล่านี้ และในขณะที่พวกเขามีการสนทนาที่”มีประโยชน์”ปัญหาก็ยังคงไม่ได้รับการแก้ไข
เมื่อได้รับการติดต่อจาก BBC Visa มองข้ามปัญหาโดยบอกว่าการโจมตีครั้งนี้เป็น “ใช้งานไม่ได้” เนื่องจากต้องใช้อุปกรณ์พิเศษและการสัมผัสใกล้ชิดกับ iPhone หรือ Apple Watch ของผู้ที่อาจตกเป็นเหยื่อ
บัตรวีซ่าที่เชื่อมต่อกับ Apple Pay Express Transit นั้นปลอดภัย และผู้ถือบัตรควรใช้บัตรเหล่านี้ด้วยความมั่นใจ รูปแบบต่างๆ ของแผนการทุจริตแบบไร้สัมผัสได้รับการศึกษาในห้องปฏิบัติการมานานกว่าทศวรรษ และได้พิสูจน์แล้วว่าไม่สามารถทำได้จริงในวงกว้างในโลกแห่งความเป็นจริง
Visa
โดยทั่วไปแล้วโฆษกของ Apple แนะนำว่า ขึ้นอยู่กับ Visa ที่จะตัดสินใจว่านี่เป็นปัญหาหรือไม่ โดยเพิ่มเติมว่านโยบายความรับผิดเป็นศูนย์ของบริษัทจะปกป้องผู้ถือบัตรจากการชำระเงินที่ไม่ได้รับอนุญาตดังกล่าวอยู่ดี
เราใช้ภัยคุกคามต่อความปลอดภัยของผู้ใช้อย่างมาก อย่างจริงจัง. นี่เป็นข้อกังวลของระบบ Visa แต่ Visa ไม่เชื่อว่าการฉ้อโกงประเภทนี้มีแนวโน้มที่จะเกิดขึ้นในโลกแห่งความเป็นจริงเนื่องจากมีการรักษาความปลอดภัยหลายชั้น ในกรณีที่เกิดการชำระเงินโดยไม่ได้รับอนุญาตซึ่งไม่น่าจะเกิดขึ้นได้ Visa ได้ชี้แจงอย่างชัดเจนว่าผู้ถือบัตรของตนได้รับการคุ้มครองโดยนโยบายความรับผิดเป็นศูนย์ของ Visa
Apple
How It Works
The ทีมนักวิจัยได้สาธิตการโจมตีโดยการเอาเงินจากบัญชีของพวกเขาเอง โดยใช้อุปกรณ์ที่ดัดแปลงมาโดยเฉพาะ ซึ่งหลอกให้ iPhone คิดว่ากำลังพูดถึงระบบการชำระเงินแบบขนส่ง
แม้ว่ากลุ่มจะไม่ได้ระบุรายละเอียดเฉพาะเจาะจง แต่พวกเขาบอกว่าสิ่งที่ต้องมีคือ”อุปกรณ์วิทยุขนาดเล็กที่มีจำหน่ายทั่วไป”และโทรศัพท์ Android ที่ใช้แอปพลิเคชันแบบกำหนดเอง
สมาร์ทโฟน Android ถ่ายทอดข้อมูลจาก iPhone ไปยังเครื่องชำระเงินแบบไม่ต้องสัมผัสอื่น ซึ่งอาจเป็นหนึ่งในร้านค้าปลีกหรือที่อาชญากรควบคุมเอง
โดยพื้นฐานแล้ว สิ่งที่เกิดขึ้นที่นี่คือเนื่องจาก iPhone เชื่อว่ากำลังพูดคุยกับสถานีปลายทางสำหรับการชำระเงินผ่านเครื่องที่ถูกต้องตามกฎหมาย ทำให้ข้อมูลประจำตัวของ Visa ถูกปลดล็อกโดยที่ไม่มีการปลดล็อก ข้อมูลนั้นถูกจับและ”เล่นซ้ำ”ในเทอร์มินัลการชำระเงินที่ถูกต้อง ซึ่งสามารถตั้งค่าให้เรียกเก็บเงินจำนวนเท่าใดก็ได้ที่ผู้โจมตีตัดสินใจ
โทรศัพท์ของผู้โจมตีและเทอร์มินัลการชำระเงินที่ใช้ในการอนุมัติการทำธุรกรรมก็ไม่จำเป็นต้องอยู่ใกล้กับ iPhone ของเหยื่อเช่นกัน ซึ่งอาจทำให้การติดตามแหล่งที่มาของการโจมตีทำได้ยากขึ้นมาก
iPhone สามารถอยู่บนทวีปอื่นได้ตราบเท่าที่มีการเชื่อมต่ออินเทอร์เน็ต
Dr Ioana Boureanu, University of Surrey
แม้จะมีการยืนยันว่า Visa ยืนยันว่า การโจมตีเป็นสิ่งที่ทำไม่ได้ หัวหน้านักวิจัย Dr. Andreea Radu กล่าวว่าการโจมตีที่ซับซ้อนที่ทำงานในห้องแล็บนั้นจบลงด้วยการถูกใช้โดยอาชญากร โดยเฉพาะอย่างยิ่งหากมีศักยภาพสำหรับผลตอบแทนมหาศาล
มันมีความซับซ้อนทางเทคนิค-แต่ฉันรู้สึกว่ารางวัลจากการโจมตีนั้นค่อนข้างสูง ในอีกไม่กี่ปีข้างหน้า สิ่งเหล่านี้อาจกลายเป็นปัญหาที่แท้จริง
ดร. Andreea Radu มหาวิทยาลัยเบอร์มิงแฮม
How to Protect Yourself
เพื่อให้ชัดเจน นักวิจัยได้แสดงให้เห็นเฉพาะการโจมตีนี้ในสภาพแวดล้อมของห้องปฏิบัติการ และไม่มีหลักฐานว่ามันเป็น ที่กำลังถูกเอาเปรียบโดยใครก็ตาม คือควรจะมีความปลอดภัยมากขึ้น
นอกจากนี้ ยังสามารถวางบัตรแบบไร้สัมผัสจริงไว้ใน กระเป๋าเงินป้องกัน RFID แต่นั่นไม่ใช่ตัวเลือกจริงๆ สำหรับ iPhone หรือ Apple Watch ซึ่งทั้งสองอย่างนี้มีแนวโน้มที่จะนำไปใช้ในที่โล่งมากกว่าที่จะซ่อนไว้ในกระเป๋าเสื้อหรือกระเป๋าเงินของคุณ
โชคดีที่หากคุณกังวลว่าคุณอาจตกเป็นเหยื่อของเหตุการณ์นี้ มีวิธีป้องกันตัวเองที่ง่ายมาก เพียงหลีกเลี่ยงการใช้บัตร Visa สำหรับการโดยสารด่วน วิธีตรวจสอบว่า:
เปิดแอป การตั้งค่า บน iPhone ของคุณ เลื่อนลงแล้วแตะ Wallet & Apple Pay ใต้บัตรโดยสาร ให้แตะ ด่วน บัตรโดยสาร ช่องทำเครื่องหมายจะปรากฏขึ้นข้างบัตรที่คุณกำลังใช้สำหรับการโดยสารด่วน แตะเพื่อเลือกบัตรอื่น หรือแตะไม่มีเพื่อปิดใช้การคมนาคมด่วนทั้งหมด
หากคุณมี Apple Watch คุณจะต้องตรวจสอบสิ่งนี้ด้วย เนื่องจากไม่ได้เชื่อมโยงกับการตั้งค่าการขนส่งสาธารณะบน iPhone ของคุณ:
เปิดแอป Watch บน iPhone ของคุณ เลื่อนลงแล้วแตะ Wallet และ Apple Pay ใต้บัตรโดยสาร ให้แตะบัตรโดยสารด่วน ช่องทำเครื่องหมายจะปรากฏขึ้นข้างบัตรที่คุณกำลังใช้สำหรับการโดยสารด่วน แตะเพื่อเลือกบัตรอื่น หรือแตะไม่มีเพื่อปิดใช้การคมนาคมด่วนทั้งหมด
นอกจากนี้ คุณไม่จำเป็นต้องเปิดใช้การขนส่งสาธารณะเลย เว้นแต่คุณจะอาศัยอยู่ในเมืองที่พร้อมให้บริการและใช้ระบบขนส่งสาธารณะของเมืองนั้นเป็นประจำ ในกรณีนี้ การเลือก”ไม่มี”เป็นตัวเลือกที่ปลอดภัยที่สุด