Kilitli bir iPhone'dan temas etmeden 10.000 dolar çalabilmek, Veritasium kanalı tarafından gerçekleştirilen ve 2021'den kalma bir güvenlik kusurunu ortaya çıkaran oldukça rahatsız edici bir deney.
YouTuber Derek Muller, iPhone'un endişe verici bir güvenlik açığını test etmek için Marques Brownlee (MKBHD) ile iş birliği yaptı: Apple telefonu kilitliyken para çekme yeteneği. Özel ekipmanlar ve Surrey Üniversitesi'ndeki siber güvenlik profesörlerinin yardımıyla başarılı bir şekilde simüle edildiler. 10.000 dolarlık hırsızlık saniyeler içinde.
Korsanlara açılan kapı olan “Ekspres Taşımacılık” modu
Saldırının kalbi “Transport Express” adı verilen oldukça pratik bir özelliğe dayanıyor. Bu mod, metro kapılarından her geçişinizde sizi yüzünüzü taramaktan veya kod girmekten kurtarmak için tasarlanmıştır. Bu nedenle cihazın kilidini açmadan ödeme yapmanıza olanak tanır. Araştırmacılar, gerçekte geleneksel bir ödeme okuyucusu olmasına rağmen, iPhone'a bir ulaşım terminaline baktığını belirten bir kod göndererek iPhone'u kandırabileceklerini keşfettiler.
Saldırganlar, bu hırsızlığı gerçekleştirmek için “ortadaki adam saldırısı” adı verilen ve “iki taraf arasındaki iletişimi, taraflardan herhangi birinin aralarındaki iletişim kanalının ele geçirildiğinden şüphelenmesine fırsat vermeden engellemeyi” amaçlayan bir teknik kullanıyor. Gösteride, Proxmark adı verilen küçük bir cihaz, iPhone'dan gelen sinyali yakalayıp bir bilgisayara iletiyor; bilgisayar, işlem verilerini başka bir telefon aracılığıyla gerçek bir ödeme terminaline geri göndermeden önce değiştiriyor.
Süreç, farklı cihazları üç şekilde kandırmayı mümkün kılıyor: iPhone'u metroda olduğuna inandırarak kilit açma talebinde bulunmamasını sağlamak, ek doğrulamayı önlemek için 10.000 dolarlık bir işlemin “küçük bir miktar” olduğuna inandırmak ve son olarak ödeme terminalini, satın alma işlemini ekranınızdan doğruladığınıza inandırmak.
Apple ve Visa'ya özgü bir kusur
Bu güvenlik açığı yalnızca bir Visa kartıyla ilişkilendirilen iPhone Apple Wallet'ın “Aktarım” bölümünde yapılandırılmıştır. Örneğin Samsung telefonlar etkilenmez çünkü taşıma modunda işlemin gerçek dijital değerini kontrol ederler ve sıfırdan büyük her türlü tutarı reddederler. Benzer şekilde Mastercard kartları, kart ile okuyucu arasındaki dijital imzayı sistematik olarak doğrulayan ve veri manipülasyonunu imkansız hale getiren ek bir güvenlik katmanı olan asimetrik şifrelemeyi kullanır.
Konuyla ilgili sorulan soruya Apple, sorunun Visa sisteminden kaynaklandığına inanıyor. Visa, tespit sistemleri nedeniyle bu tür dolandırıcılıkların gerçek dünyada pek olası olmadığını söylüyor. Şirket ayrıca kullanıcıların dolandırıcılık durumunda geri ödemeyi garanti eden “sıfır sorumluluk” politikasıyla korunduğunu da hatırlatıyor. Ancak videoda da vurgulandığı gibi, tasarrufların ortadan kaybolduğunu görmenin yarattığı stres ve geri ödemedeki gecikme, bu tür dolandırıcılık kurbanları için büyük sorun olmaya devam ediyor. Kendinizi korumak için en basit çözüm, “Ekspres Taşıma” modunu devre dışı bırakmak veya iPhone'unuzda Visa kartını onunla ilişkilendirmemektir.
👉🏻 Teknoloji haberlerini gerçek zamanlı takip edin: 01net'i Google'daki kaynaklarınıza ekleyin ve WhatsApp kanalımıza abone olun.
Bir yanıt yazın