Araştırmacılar Apple Pay’de yeni bir sorun keşfetti. Temassız ödeme yöntemi ile kilitli iPhone’lar üzerinden para çalınmasını sağlayan yeni açığın, Visa kartları etkilediği söyleniyor.
İngiltere’de Birmingham ve Surrey Üniversitelerinde çalışan bir grup araştırmacı, Apple Pay ’in yeni bir açığını keşfetti. Apple Pay’e kayıtlı Visa kartların Ekspres Transit özelliğindeki bir zayıflıktan faydalanarak, temassız olarak para çalınabiliyor. Ekspres Transit özelliği, kullanıcıların daha hızlı ödemeler yapabilmesi için ödeme yapılırken parola ve biyometrik verilerin ihtiyacını ortadan kaldırıyor.
Visa kart sahipleri tehlikede
Araştırmacılar, saldırıyı göstermek için kilitli bir iPhone üzerinden 1.000 sterlinlik bir para transferi videosu paylaştı. Videoda yer alan bir android uygulaması, sinyalleri iPhone’dan temassız ödeme terminaline iletiyor. Bu sayede iPhone kilidi açılıyor ve ödeme yetkisi verilmiş gibi terminali kandırılarak iletişim verileri değiştiriliyor.
İngiltere’den iPhone kullanıcılarının yakından ilgilendiren bir uyarı geldi. Birmingham ve Surrey Üniversitesi’nde görev alan uzmanlar, ‘kredi kartlarınızı Apple Pay özelliğinden kaldırın’ çağrısında bulundu.
İngiliz Mirror gazetesinde yer alan habere göre, Apple Pay’de bir açık keşfettiklerini iddia eden uzmanlar söz konusu hatanın dolandırıcılar tarafından nasıl kullanılabileceğini de açıkladı.
Buna göre, söz konusu sistem açığı nedeniyle Apple Pay çeşitli verilerin ele geçirilmesi veya her türlü değişikliğin yapılmasını da kapsayan bir saldırı yöntemi olan ‘Ortadaki Adam Saldırısı’na (MITM) karşı savunmasız durumda.
Ekip, basit radyo ekipmanı kullanarak iPhone’u bir geçiş kapısıyla iletişim kurduğunu düşünmesi için kandırmayı başardı ve MITM yöntemini kullanmayı başardığını iddia etti.
Birmingham Üniversitesi’nden araştırmanın ortak yazarı Dr. Tom Chothia, ‘iPhone sahipleri, transit ödemeler için ayarlanmış bir Visa kartı olup olmadığını kontrol etmeli ve öyleyse devre dışı bırakmalılar’ dedi.
Araştırmacılar, sorunun ayrıntılarını Apple ve Visa ile paylaştıklarını ve her iki şirketin de güvenlik açığının ciddiyetini kabul ettiğini ancak bir düzeltmeyi kimin yapacağı konusunda bir anlaşmaya varmadıklarını iddia etti.
VISA’DAN AÇIKLAMA
Araştırmacılara Visa’dan yanıt gecikmedi. Visa, kartlarının bu özellik sayesinde güvende olduğunu ve kart sahiplerinin bunları “güvenle” kullanmaya devam etmesi gerektiğinin altını çizdi.
Şirketten yapılan açıklamada şu ifadelere yer verildi:
“Visa tüm güvenlik tehditlerini çok ciddiye alıyor ve ekosistem genelinde ödeme güvenliğini güçlendirmek için yorulmadan çalışıyoruz.”
Visa yeni keşfedilen açık ile ilgili, ödemelerin güvenli olduğunu ve bu tür saldırıların pratik olmadığını bildirdi. Araştırmacılar ise, açık üzerinden herhangi bir saldırı gerçekleşmediğini, bunun yanı sıra açığın bir yıl önce keşfedildiğini ve Apple ve Visa tarafından sorunun çözülmediğini dile getirdiler.
