Από την εποχή της πανδημίας, οι περισσότεροι έχουν υιοθετήσει τις ανέπαφες πληρωμές, ώστε να μην πιάνουν στα χέρια τους μετρητά. Ακόμα και οι μεγαλύτερης ηλικίας πλέον, πληρώνουν με ψηφιακά πορτοφόλια, όπως το Apple Pay και το Google Pay και δυστυχώς τα μετρητά αρχίζουν να χάνονται. Μια μεγάλη μερίδα του κοινού χρησιμοποιεί τα Android και iPhone για ανέπαφες συναλλαγές.
Τώρα όμως, ήρθε μια ομάδα ερευνητών που μας έδειξε πως κανένα σύστημα δεν είναι άτρωτο, από τις απλές χρεωστικές μας κάρτες, μέχρι το Apple Pay. Φυσικά, τα ψηφιακά πορτοφόλια στα κινητά μας είναι πολύ πιο ασφαλή από την απλή κάρτα, κάτι που προσωπικά γνωρίζω πάρα πολύ καλά, καθώς η πτυχιακή μου ήταν πάνω σε αυτό το κομμάτι. Τώρα όμως, έπεσε και το οχυρό των ψηφιακών πορτοφολιών και συγκεκριμένα του iPhone, αφού οι ερευνητές κατάφεραν να πραγματοποιήσουν συναλλαγές χωρίς να ξεκλειδωθεί το τηλέφωνο και χωρίς καμία επιβεβαίωση από τον χρήστη.
Οι ερευνητές πραγματοποίησαν ένα πείραμα, με ειδικούς στην κυβερνοσφάλεια, στο οποίο ένα iPhone τοποθετήθηκε σε μια συσκευή που έμοιαζε με τερματικό για ανέπαφες πληρωμές. Χρειάστηκαν μόνο λίγα δευτερόλεπτα για να πραγματοποιηθεί χρέωση και μάλιστα χωρίς σημαντικό όριο. Οι συναλλαγές ήταν αρχικά μερικά cents, ενώ έφτασε μέχρι και τις 10.000 δολάρια. Μάλιστα, πέρασαν χωρίς καμία επιβεβαίωση από τον χρήστη και χωρίς την βιομετρική επαλήθευση μέσω του FaceID. Μάλιστα, η συσκευή ήταν κλειδωμένη καθ’ όλη τη διάρκεια της διαδικασίας και δεν άνοιξε ούτε καν η οθόνη της.
Εδώ να πούμε πως ότι κάνει ένα POS μπορεί να κάνει και ένα απλό smartphone με NFC, που σημαίνει πως με ένα απλό κινητό και το κατάλληλο software, μπορεί να μπει κάποιος στο μετρό και να ξαφρίσει όσους έχουν iPhone, απλά πλησιάζοντάς τους. Φυσικά το ίδιο συμβαίνει και με τις πιστωτικές και χρεωστικές που έχουμε στο πορτοφόλι μας, για αυτό καλό είναι να έχουμε θωρακισμένο πορτοφόλι.
Οι μέθοδος που χρησιμοποίησαν οι ερευνητές είναι γνωστή σε όσους ασχολούνται με κυβερνοασφάλεια, σαν Man in the Middle. Με αυτές τις επιθέσεις, παρεμβάλλεται κάτι ανάμεσα στην συσκευή του χρήστη και στην υπηρεσία που θέλει να φτάσει. Στη συγκεκριμένη περίπτωση, παρεμβάλλεται κάτι ανάμεσα στο iPhone και στο POS, καταγράφοντας όλα τα δεδομένα που περνάνε από την επικοινωνία με NFC σε πραγματικό χρόνο. Το τηλέφωνο θεωρεί πως επικοινωνεί με το POS, όμως όλη η επικοινωνία περνάει από ένα ακόμα chip, που κλέβει και αλλοιώνει τις πληροφορίες που περνάνε από αυτό.
Στην περίπτωση των iPhone συγκεκριμένα, οι ερευνητές χρησιμοποίησαν το Express Transit Mode, μια λειτουργία που επιτρέπει τις πληρωμές στα μέσα μαζικής μεταφοράς, χωρίς το ξεκλείδωμα της συσκευής. Με την συσκευή να μιμείται το τερματικό μέσου συγκοινωνίας, παρακάμπτει τους ελέγχους της συσκευής.
Το βασικό όμως γίνεται μετά την αναγνώριση σαν τερματικό σταθμού συγκοινωνιών. Αφού το κινητό χαρακτηρίσει την συναλλαγή σαν μία με το τερματικό του μετρό, οι ερευνητές αλλάζουν τις πληροφορίες, ώστε η συναλλαγή να συνεχίζει να φαίνεται πως είναι μια πληρωμή εισιτηρίου, όμως τα υπόλοιπα πακέτα αλλάζουν, ζητώντας πολύ περισσότερα χρήματα. Πρακτικά περνάνε το μεγάλο ποσό, σε πακέτα για πολύ μικρής αξίας συναλλαγές. Το κινητό αναγνωρίζει πως πρόκειται για μικρή συναλλαγή, ενώ το αίτημα γίνεται για χειλάδες ευρώ. Με αυτό τον τρόπο παρακάμπτουν ακόμα και τα όρια που έχουμε στις συναλλαγές μας, ενώ επειδή η εικονική συναλλαγή είναι πολύ χαμηλής αξίας, δεν απαιτείται και πιστοποίηση του χρήστη.
Τα πάντα όμως έχουν να κάνουν με ένα σοβαρό πρόβλημα που έχει το Apple Pay στις ανέπαφες συναλλαγές. Από ότι φαίνεται η επικοινωνία δεν είναι κρυπτογραφημένη, ώστε να είναι συμβατό με όσα περισσότερα τερματικά γίνεται, όσο παλιά και αν είναι. Παρόμοια συμπεριφορά έχουν εκτός από τα iPhone και οι κάρτες VISA και αυτό είναι το ίδιο επικίνδυνο. Το ακόμα πιο τρομακτικό είναι πως αυτό το κενό ασφαλείας είναι γνωστό από το 2021, όμως ούτε η Apple, ούτε η Visa έχουν κάνει κάτι για αυτό.
5G internet δωρεάν από τον ουρανό! Η εναλλακτική στο Starlink
Στην θεωρία, χρειάζεται ειδικός εξοπλισμός για να γίνει η κλοπή χρημάτων, όμως αν κρίνω από όσα έχω δει κατά τη συγγραφή της πτυχιακής μου, όπου είχα και επικοινωνία με άτομα από Apple και άλλες εταιρείες για το θέμα, τα πάντα μπορούν να εξομοιωθούν μέσω μιας εφαρμογής σε ένα κινητό που έχει NFC.
Η Apple αποδίδει το πρόβλημα στα συστήματα της VISA, ενώ η τελευταία θεωρεί πως είναι πολύ σπάνιες οι περιπτώσεις και αν συμβεί σε κάποιον, οι χρήστες καλύπτονται από την πολιτική επιστροφής χρημάτων σε περίπτωση απάτης. Βέβαια, καλές οι πολιτικές αυτές, αλλά αν όντως επέστρεφε τα χρήματα, οι απατεώνες του διαδικτύου θα είχαν χάσει τη δουλειά τους.
Το πρόβλημα είναι πως ο χρήστης δε λαμβάνει καμία ειδοποίηση στο iPhone για τις ανέπαφες συναλλαγές αυτού του είδους και αν δεν ελέγχει καθημερινά τον λογαριασμό του, μπορεί να χαθεί το περιθώριο επιστροφής χρημάτων από περιπτώσεις απάτης.
Εδώ να ξεκαθαρίσουμε πως οι ανέπαφες συναλλαγές με τα κινητά μας, είναι αρκετά ποιο ασφαλείς από τις κάρτες μας, καθώς κυριολεκτικά η ασφάλεια των καρτών είναι ξεπερασμένη και παραβιάζεται πάρα πολύ εύκολα. Σε τίποτα ψηφιακό δεν υπάρχει απόλυτη ασφάλεια, όμως θα περίμενε κανείς πως η Apple θα είχε διορθώσει το πρόβλημα από το 2021 που έγινε γνωστό. Δεν είναι τυχαίο πως επηρεάζει μόνο τα τηλέφωνά της, ενώ στο Android αυτό το hack δεν είναι δυνατό.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
