Artikel top billede

Sårbarhed gør det muligt at misbruge Apple Pay: Sådan har forskere foretaget store transaktioner fra en ulåst iPhone

Forskere har fundet en sårbarhed i Apple Pay, der gør det muligt at foretage store autoriserede betalinger med et Visa kort fra en låst telefon.

En fejl i Apple Pay gør det muligt at foretage store uatoriserede betalinger med et Visa-kort via en låst iPhone.

Det har en række sikkerhedsforskere ifølge BBC netop bevist i et forsøg.

Misbruget af Apple Pay kan ifølge BBC lade sig gøre ved hjæp af den såkaldte Express Transit-funktion, hvor det er muligt at give et kort i Apples Wallet-app tilladelse til at blive brugt i ulåst tilstand ved særlige terminaler i den offentlige transport.

Sådan gjorde forskerne

Forsøget lader dog til at være relativt kompleks, og ifølge BBC har det fundet sted i kontrollerede omgivelser, hvor forskerne har opsat et stykke radio-udstyr i nærheden af en iPhone, der får telefonen til tro, at den nærmer sig et betalingssystem i den offentlige transport.

Samtidig har forskerne udstyret en Android-telefo med en app, som de selv har udviklet og som kan videreformidlet signalet fra iPhonen til en helt almindelig kontaktløs betalingsterminal.

Det kan eksempelvis være en betalingsterminal i en butik, eller en betalingsterminal som en kriminel selv har kontrol over, og fordi iPhonen tror, at den nærmer sig Transit Express-betalingsterminal behøver den ikke at blive låst op.

På denne måde bliver iPhonen narret til at foretage større betalinger uden, at der først bliver indtastet en kode eller anvendt FaceID eller TouchID.

Apple: Svagheden finder hos Visa
Apple oplyser ifølge BBC, at årsagen til problemet skal findes i Visas systemer, men Visa ifølge BBC vurderer, at problemstillingen mest af alt har teoretisk karakter og vil være upraktisk udføre uden for laboratorium.

Ifølge BBC er det endnu ikke har været beviser for, at svagheden er blevet udnyttet i det virkelige liv.

Sikkerhedsforskeren Ken Munro fra firmaet Pen Test Partner vurderer dog, at sårbarheden har potentiale til at blive udnyttet i forbindelse tyveri af iPhones. Han opfordrer derfor til, at Apple og Visa får lappet sårbarheden hurtigst muligt.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG Danmark A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Enterprise Architecture Day 2023: Strategi styring og sikkerhed

Mange it-afdelinger har de seneste år har oprustet på it-arkitektursiden. Både gennem individuelle ansættelser og med oprettelse af egentlige arkitektafdelinger. Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu?

28. marts 2023 | Læs mere


Nye muligheder - ny værdi. Få mere ud af Microsoft Dynamics 365 CE - med særligt fokus på kunstig intelligens (AI)

Kunstig intelligens, stemmegenkendelse, Open AIs meget omtalte ChatGPT, integrationer til Outlook, Teams og meget mere. Microsoft Dynamics 365-platformen byder på masser af muligheder for at øge produktiviteten, forbedre kundeservicen, få bedre indsigt i forretningen og i det hele taget rykke fra konkurrenterne.

29. marts 2023 | Læs mere


Enterprise Architecture Day 2023: Strategi styring og sikkerhed

Mange it-afdelinger har de seneste år har oprustet på it-arkitektursiden. Både gennem individuelle ansættelser og med oprettelse af egentlige arkitektafdelinger. Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu?

30. marts 2023 | Læs mere