O vulnerabilitate de securitate permite furtul a 10.000$ de pe un iPhone blocat - Metoda folosește o eroare în sistemul de plăți NFC al Apple

Un „ocol” de securitate vechi din 2021 ar putea permite extragerea a 10.000 de dolari (aprox. 46.000 lei) de pe un iPhone blocat , într-un scenariu controlat, prin păcălirea telefonului să inițieze o plată NFC ca și cum ar fi vorba de un terminal de transport public, potrivit 9to5Mac . Miza pentru utilizatori și pentru ecosistemul de plăți este că vulnerabilitatea ar fi rămas neadresată până azi, deși a fost expusă inițial în 2021. Cum funcționează metoda și de ce contează Materialul pornește de la un videoclip publicat de canalul YouTube Veritasium , care descrie o breșă „de nișă” ce ar permite inițierea unei plăți NFC de pe un iPhone blocat. Descoperirea este atribuită profesorilor Ioana Boureanu și Tom Chothia. Mecanismul descris se bazează pe inducerea în eroare a iPhone-ului, astfel încât acesta să creadă că un terminal de plată este, de fapt, un terminal de transport în comun care folosește funcția Apple „ Express Transit ” (plată rapidă pentru transport, fără deblocarea telefonului). Videoclipul mai arată cum ar fi depășite și alte măsuri de protecție Apple, pentru a ajunge la o sumă de 10.000 de dolari într-un cadru controlat. Limitări: când se aplică și când nu Conform articolului, vulnerabilitatea ar funcționa doar dacă utilizatorul are setat un card Visa ca opțiune „Express Transit” în setările iPhone-ului. Nu s-ar aplica pentru Mastercard sau alți emitenți. Apple a transmis către Veritasium că problema ar avea la bază o preocupare din partea Visa. La rândul său, Visa a spus că deținătorii de carduri sunt protejați de o promisiune de „răspundere zero” (zero liability), care ar acoperi eventualele pierderi dacă vulnerabilitatea ar fi exploatată, dar a caracterizat scenariul drept „foarte puțin probabil” în condiții reale, chiar dacă este posibil într-un mediu strict controlat. Context: actualizări de securitate, dar o problemă rămasă deschisă 9to5Mac notează că Apple livrează frecvent actualizări de securitate pentru iPhone și le documentează public, însă această vulnerabilitate specifică ar fi persistat din 2021 și ar fi rămas necorectată până în prezent, conform celor prezentate în videoclip. Cei interesați pot vedea demonstrația în materialul video menționat de 9to5Mac: https://youtu.be/PPJ6NJkmDAo?si=svppI45wqbDhV1lu . [...]