Уязвимость iPhone: Как злоумышленники списывают миллионы тенге

Британские исследователи выявили серьезную уязвимость в системе iPhone, позволяющую злоумышленникам списывать средства даже с заблокированных устройств. Согласно их данным, сумма может достигать 10 тысяч долларов, что эквивалентно примерно 4,7 миллиона тенге.

Механизм атаки

Исследователи Иоан Буряну и Том Чотия обнаружили, что iPhone можно обмануть с помощью стандартного NFC-терминала. Устройство может ошибочно определить, что оно находится перед турникетом в метро или автобусе, а не в руках злоумышленника.

В системе Apple существует функция "Экспресс-транзит", которая позволяет пользователям оплачивать проезд одним касанием, без необходимости вводить пароль или использовать Face ID. Однако, согласно исследованию, злоумышленник может модифицировать обычный терминал для приема платежей, что заставляет iPhone воспринимать транзакцию как оплату проезда, минуя дополнительную проверку.

Практическое применение уязвимости

Блогеры из канала Veritasium решили протестировать данную уязвимость и подтвердили, что смогли списать 10 тысяч долларов со своего устройства без необходимости разблокировки экрана.

Какие карты подвержены риску

По информации СМИ, уязвимость затрагивает только карты Visa, которые подключены к Apple Pay и используются для функции Экспресс-транзит. Другие платежные системы, такие как Mastercard, не подвержены этому типу атаки.

Реакция Apple и Visa

Представители Apple сообщили, что проблема связана с особенностями обработки транзакций со стороны Visa. В свою очередь, Visa успокоила пользователей, заявив, что даже в случае списания средств из-за этой уязвимости, пользователи смогут вернуть деньги в рамках политики нулевой ответственности.

Также компания отметила, что вероятность такого сценария крайне мала в реальных условиях, так как для атаки необходимо наличие нескольких специфических условий и специального оборудования.