ثغرة محتملة في iPhone تقوّض آلية الدفع اللاتلامسية
\n
كشف خبراء أمنيون عن ثغرة قد تتيح سحب مبالغ كبيرة من أموال المستخدمين عبر هواتف iPhone حتى وهي في وضع القفل الكامل، دون الحاجة إلى استخدام Face ID أو Touch ID. وتأتي هذه النتائج من عرض بثته قناة Veritasium التجريبي، الذي أظهر كيفية تمكن باحثين من سحب 10 آلاف دولار من هاتف iPhone خلال ثوانٍ داخل بيئة اختبارية وباستخدام جهازين فقط. يلفت الكشف إلى وجود خلل محتمل في آلية عمل خدمة Apple Pay وآليات التحقق المرتبطة بها في بيئة الدفع اللاتلامسية.
\n
السيناريو المفترض يعتمد على هجوم من النوع هجوم المنتصف، حيث يتدخل المهاجم بين الهاتف ونقطة الدفع ليعترض الإشارات المتبادلة ثم يعيد توجيهها بشكل يوهم الجهاز بأن العملية تخص دفعاً منخفضاً لخدمات النقل العام، من النوع الذي لا يتطلب فتح الهاتف أو مصادقة بيومترية. وفي سياق المختبر، ربطت أنظمة النقل العام بين تقنيات الدفع بالهواتف، حيث تسمح بعض أنظمة النقل بسرعة بإجراء المدفوعات بمجرد تقريب الهاتف. وتناولت النتائج إشارات محطات النقل وتلاعب بها لتمرير مبالغ أعلى من القيمة المفترضة كمدفوعات صغيرة لا تحتاج إلى تحقق إضافي. كما أشارت النتائج إلى أن الهواتف المرتبطة ببطاقات Visa قد تكون الأكثر عرضة لهذا النوع من الهجمات بسبب خلل تقني في التفاعل بين نظام الدفع الخاص بـ Apple وآلية التحقق لدى Visa، بما يسمح بتمرير مبالغ مرتفعة باعتبارها مدفوعات صغيرة لا تستدعي تحققاً إضافياً.
\n
مع ذلك، أكد الخبراء أن تنفيذ هذا الهجوم في الواقع ليس بالأمر السهل، إذ يتطلب معدات متخصصة تشمل قارئات بطاقات متقدمة موصولة بحاسوب محمول، إضافة إلى جهاز ثان لإتمام العملية الوهمية، إلى جانب وجود المهاجم في مدى قريب جداً من الضحية أثناء التنفيذ. وتُثار بهذا السياق تساؤلات حول صرامة أمان المدفوعات اللاتلامسية وتحديثات أنظمة الدفع بين Apple Pay وبطاقات Visa في ضوء هذه التجربة.
