Історія про те, як з заблокованого iPhone ютубера Маркеса Браунлі вдалося зняти 10 000 доларів, використовуючи вразливість, відому з 2021 року, викликала значний резонанс у світі технологій та кібербезпеки. Цей інцидент, зафіксований на каналі Veritasium, демонструє, наскільки складними та непередбачуваними можуть бути шляхи експлуатації програмних і апаратних недоліків сучасних пристроїв.
Аналіз вразливості та її наслідки
Технічні аспекти експлуатації
Суть даного експлойту полягає у використанні специфічної взаємодії між iPhone, картою Visa, що прив’язана до Apple Pay, та NFC-технологіями. Розробники атаки змогли обманути систему iPhone, змусивши його думати, що здійснюється оплата за проїзд у громадському транспорті, що, на відміну від звичайних транзакцій, не вимагає розблокування пристрою. Ця функціональність, відома як Express Transit Mode, є зручною для користувачів, але, як виявилося, може стати потенційною загрозою.
“Експлойт використовує пов’язану з iPhone карту Visa, додаткове апаратне забезпечення та NFC, а також вимагає фізичного контакту зі смартфоном. Суть полягає у тому, аби змусити iPhone думати, що він здійснює оплату на терміналі громадського транспорту, адже для цього смартфон не треба розблоковувати.”
Історія дослідження та розвитку атаки
Ця вразливість не є новою, адже дослідники кібербезпеки з Університету Суррея та Університету Бірмінгема ще у 2021 році повідомляли про подібну атаку. Тоді вони продемонстрували, як можна обійти обмеження на розмір транзакцій та блокування iPhone. Для реалізації атаки необхідний спеціальний NFC-зчитувач, що може перехопити комунікацію між iPhone та платіжним терміналом, а потім передати дані для здійснення платежу з іншого пристрою.
Реакція компаній та рекомендації користувачам
Позиція Apple та Visa
Компанія Apple, коментуючи ситуацію, вказала на проблему в системі Visa, але висловила сумніви щодо можливості реалізації подібної атаки в реальних умовах. Visa, у свою чергу, запевнила, що власники карток захищені політикою нульової відповідальності, а всі сумнівні транзакції можуть бути оскаржені. Водночас, компанія також вважає, що така атака є малоймовірною в повсякденному використанні.
Поради для користувачів
Незважаючи на запевнення компаній, експерти з кібербезпеки радять користувачам бути обережними. Для мінімізації ризиків пропонується тимчасово відмовитися від використання карт Visa в iPhone для здійснення оплати проїзду в громадському транспорті. Це обмеження стосується лише карток Visa та режиму Express Transit Mode, тоді як інші платіжні системи та бренди смартфонів, як стверджується, не підпадають під цю вразливість.
Висновок
Історія з експлуатацією вразливості iPhone, що дозволяє обійти блокування для здійснення платежів, є нагадуванням про постійну боротьбу між розробниками безпеки та зловмисниками. Хоча компанії запевняють у низькій ймовірності реальних загроз, користувачам варто залишатися пильними та враховувати надані рекомендації для захисту своїх фінансів.
