Artikel top billede

Sårbarhed gør det muligt at misbruge Apple Pay: Sådan har forskere foretaget store transaktioner fra en ulåst iPhone

Forskere har fundet en sårbarhed i Apple Pay, der gør det muligt at foretage store autoriserede betalinger med et Visa kort fra en låst telefon.

En fejl i Apple Pay gør det muligt at foretage store uatoriserede betalinger med et Visa-kort via en låst iPhone.

Det har en række sikkerhedsforskere ifølge BBC netop bevist i et forsøg.

Misbruget af Apple Pay kan ifølge BBC lade sig gøre ved hjæp af den såkaldte Express Transit-funktion, hvor det er muligt at give et kort i Apples Wallet-app tilladelse til at blive brugt i ulåst tilstand ved særlige terminaler i den offentlige transport.

Sådan gjorde forskerne

Forsøget lader dog til at være relativt kompleks, og ifølge BBC har det fundet sted i kontrollerede omgivelser, hvor forskerne har opsat et stykke radio-udstyr i nærheden af en iPhone, der får telefonen til tro, at den nærmer sig et betalingssystem i den offentlige transport.

Samtidig har forskerne udstyret en Android-telefo med en app, som de selv har udviklet og som kan videreformidlet signalet fra iPhonen til en helt almindelig kontaktløs betalingsterminal.

Det kan eksempelvis være en betalingsterminal i en butik, eller en betalingsterminal som en kriminel selv har kontrol over, og fordi iPhonen tror, at den nærmer sig Transit Express-betalingsterminal behøver den ikke at blive låst op.

På denne måde bliver iPhonen narret til at foretage større betalinger uden, at der først bliver indtastet en kode eller anvendt FaceID eller TouchID.

Apple: Svagheden finder hos Visa
Apple oplyser ifølge BBC, at årsagen til problemet skal findes i Visas systemer, men Visa ifølge BBC vurderer, at problemstillingen mest af alt har teoretisk karakter og vil være upraktisk udføre uden for laboratorium.

Ifølge BBC er det endnu ikke har været beviser for, at svagheden er blevet udnyttet i det virkelige liv.

Sikkerhedsforskeren Ken Munro fra firmaet Pen Test Partner vurderer dog, at sårbarheden har potentiale til at blive udnyttet i forbindelse tyveri af iPhones. Han opfordrer derfor til, at Apple og Visa får lappet sårbarheden hurtigst muligt.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan får CFOen og den it-ansvarlige hurtig og sikker viden på hånden

Som CFO og it- ansvarlig er automatisering og avanceret dataanalyse blevet en del af hverdagen. Både for at sikre acceleration af forretningskritiske processer men også for at sikre en opdateret og handlingsorienteret indsigt. Men hvordan får man fuldt overblik og udbytte af disse processer? Det sætter vi fokus på, med dette eksklusive roundtable-event.

07. marts 2024 | Læs mere


SAP Excellence Day 2024

Hvordan orkestrerer og opdeler du SAP-projekter, så det bliver muligt og realistisk at hjemtage gevinster langt hurtigere? Hvad er den mest effektive metodik, når man skal arbejde med no-code/low-code og Business Automation i SAP?

12. marts 2024 | Læs mere


Business Intelligence & Analytics Day

Gennem konkrete cases fra den virkelige verden giver vi dig også inspiration til, hvordan du i praksis graver efter – og finder - guldet i de stigende mængder data, din virksomhed producerer i bl.a. finans, drift, logistik og produktion. Samt hvordan du realiserer værdien af informationerne ved at indsamle, håndtere og analysere dem korrekt og systematisk.

14. marts 2024 | Læs mere