Автор YouTube-канала Veritasium показал уязвимость в iPhone, позволяющую провести бесконтактный платеж по NFC с заблокированного устройства и списать значительные суммы, вплоть до $10 тыс. (около 752,3 тыс. руб.). Об этом сообщает Anti-Malware.
Уязвимость была впервые выявлена в 2021 году исследователями Иоаном Буряном и Томом Чотией.
Механизм атаки основан на имитации терминала оплаты в общественном транспорте, что позволяет обойти блокировку устройства за счет функции Express Transit.Данный режим предусматривает проведение платежей без разблокировки iPhone, чем и воспользовались исследователи. В рамках демонстрации им удалось обойти дополнительные защитные механизмы и инициировать перевод средств через NFC, доведя сумму транзакции до $10 тыс.
Вместе с тем уязвимость имеет ряд существенных ограничений. Она проявляется исключительно при использовании карт Visa, тогда как карты на базе других платежных систем, включая Mastercard. Кроме того, для успешной атаки требуется специализированное оборудование и точная настройка, что значительно снижает риски практического применения уязвимости.
В Apple заявили, что уязвимость связана с особенностями работы платежной инфраструктуры Visa, а не с iPhone и iOS. В самой Visa отметили, что держатели карт защищены политикой нулевой ответственности, позволяющей компенсировать возможный ущерб, и оценили вероятность реализации подобного сценария в реальных условиях как крайне низкую.
Свежие комментарии