كشف خبراء أمنيون عن ثغرة مثيرة للقلق في أنظمة الدفع الرقمية قد تتيح سحب مبالغ مالية كبيرة من هواتف" آيفون"، حتى وهي في وضع القفل الكامل، ودون الحاجة إلى استخدام" Face ID" أو" Touch ID"، ما أعاد الجدل حول مستوى أمان المدفوعات اللاتلامسية.
وفي هذا السياق، عرضت قناة" Veritasium" تجربة عملية أظهرت تمكن باحثين من سحب 10 آلاف دولار من هاتف" آيفون" خلال ثوان معدودة داخل بيئة اختبارية، وذلك باستخدام جهازين فقط، في مشهد سلط الضوء على خلل محتمل في آلية عمل خدمة" آبل باي".
ويعتمد هذا السيناريو على ما يعرف بـ" هجوم المنتصف"، حيث يتدخل المهاجم بين الهاتف ونقطة الدفع، ويعترض الإشارة المتبادلة بينهما، ثم يعيد توجيهها بطريقة توهم الجهاز بأن العملية تتعلق بدفع مبلغ منخفض خاص بخدمة نقل عمومي، من النوع الذي لا يتطلب فتح الهاتف أو المصادقة البيومترية.
ومن جهة أخرى، ترتبط خطورة هذه الثغرة بكون بعض أنظمة النقل العام تسمح فعلا بإجراء مدفوعات سريعة بمجرد تقريب الهاتف، وهو ما استغله الباحثان إيوانا بورينو وتوم تشوثيا، بعدما قاما بتسجيل الإشارات الصادرة عن محطات النقل ثم التلاعب بها لتمرير عمليات أكبر من القيمة الحقيقية المفترضة.
كما أظهرت النتائج أن الهواتف المرتبطة ببطاقات" فيزا" قد تكون الأكثر عرضة لهذا النوع من الهجمات، بسبب خلل تقني في التفاعل بين نظام الدفع الخاص بـ" آبل" وآلية التحقق المعتمدة لدى" فيزا"، بما يسمح، وفق الباحثين، بتمرير مبالغ مرتفعة على أنها مدفوعات صغيرة لا تستدعي تحققاً إضافياً.
في المقابل، أشار الخبراء إلى أن تنفيذ هذا الهجوم في الواقع ليس بالأمر السهل، لأنه يتطلب معدات متخصصة تشمل قارئات بطاقات متقدمة موصولة بحاسوب محمول، إلى جانب جهاز ثان لإتمام العملية الوهمية، فضلا عن ضرورة وجود المهاجم على مسافة قريبة جدا من الضحية أثناء التنفيذ.
التعليقات (0)
لا توجد تعليقات حتى الآن. كن أول من يعلق!
أضف تعليقك