Các chuyên gia cho biết rằng, họ có thể vượt qua màn hình khóa Apple Pay của iPhone để thực hiện các thanh toán không tiếp xúc khi thẻ Visa được cài đặt trên chế độ chuyển tiếp nhanh (Express Transit mode) trong ví iPhone. Chế độ chuyển tiếp cho phép người dùng tiến hành thanh toán di động không tiếp xúc nhanh chóng mà không cần xác thực vân tay hoặc nhận diện khuôn mặt, ví dụ tại một cửa quay của ga tàu điện ngầm.
Đội nghiên cứu đã sử dụng thiết bị radio đơn giản để khám phá mã độc mới nhất được phát bởi những cổng chuyển tiếp hoặc các trình điều khiển cửa quay mà có thể mở khóa Apple Pay. Đoạn mã này được gọi là "magic bytes", được sử dụng để can thiệp vào các tín hiệu di chuyển giữa iPhone và đầu đọc thẻ. Những nhà nghiên cứu có thể tạo tín hiệu làm cho iPhone nhận biết rằng nó đang tương tác với một cổng chuyển tiếp mà không phải một đầu đọc thẻ bằng cách phát "magic bytes" và thay đổi các trường khác trong giao thức.
Do đó, lỗ hổng này có khả năng bị tin tặc lợi dụng nhằm thực hiện những giao dịch từ iPhone được cất trong túi của một người dùng mà họ không hề hay biết.
Kỹ thuật này còn cho phép các chuyên gia vượt qua giới hạn thanh toán không tiếp xúc, cho phép lấy tiền trong tài khoản người dùng iPhone mà không hề nhận ra. Lý do là vì đầu đọc thẻ đã mặc định rằng iPhone đã thực hiện thành công xác thực người dùng.
Các nhà nghiên cứu nhấn mạnh rằng, lỗ hổng chỉ áp dụng cho những hệ thống Apple Pay và thẻ Visa hoạt động cùng nhau và không ảnh hưởng các tổ hợp khác, ví dụ như thẻ Mastercard trên iPhone.
Tiến sĩ Andreea Radu, giảng viên Trường Khoa học máy tính tại Đại học Birmingham, nhận xét: "Nghiên cứu của chúng tôi đã cho thấy một ví dụ rõ ràng về một tính năng, với mục đích từng bước làm cho cuộc sống trở lên dễ dàng hơn, nhưng lại trở nên phản tác dụng và tác động tiêu cực tới bảo mật, với khả năng gây ra những hậu quả tài chính nghiêm trọng đối với người dùng. Các cuộc thảo luận của chúng tôi với Apple và Visa cho thấy dù hai bên đều có lỗi một phần, nhưng cả hai đều không sẵn sàng nhận trách nhiệm và thực hiện sửa chữa, khiến người dùng dễ bị tấn công bất kỳ lúc nào".
Cũng trong nhóm nghiên cứu, Tiến sĩ Tom Chothia, đến từ Trường Khoa học máy tính tại Đại học Birmingham, cho biết thêm: "Người sở hữu iPhone nên kiểm tra xem họ có thẻ Visa được cài đặt cho thanh toán chuyển tiếp hay không, nếu có thì người dùng nên vô hiệu hóa nó. Người dùng Apple Pay không hẳn là sẽ gặp nguy hiểm, nhưng chỉ khi Apple hoặc Visa khắc phục điều này thì mới có thể yên tâm về tài khoản của mình".
Phản hồi với các phát hiện này, Brian Higgins, chuyên gia bảo mật tại công ty Comparitech khuyến cáo những người dùng Apple Pay và Visa nên xem xét thay đổi nhà cung cấp dịch vụ. "Loại hình khai thác này liên quan đến việc tìm kiếm dữ liệu anten kết nối trường gần (NFC - Near Field Communication) từ các thẻ thanh toán không tiếp xúc khi chúng bắt đầu trở lên phổ biến. Khi đó, hầu như không thể kết nối dữ liệu thô cho một chủ thẻ cá nhân, do đó không ai bận tâm đến điều này”.
“Hiện nay, có thể trích xuất các khoản thanh toán ngay lập tức với loại thiết bị phù hợp, nhưng đáng tiếc rằng không bên nào giữa Apple hay Visa chú ý quan tâm đến mối đe dọa đối với khách hàng, và như thường lệ, người tiêu dùng phải tự bảo vệ mình. Các nghiên cứu xác định nhiều nhà cung cấp dịch vụ đã có sẵn các biện pháp để ngăn chặn mối đe dọa này. Lời khuyên tốt nhất là người dùng nên đổi sang một trong những nhà cung cấp dịch vụ này sớm nhất có thể".
Quang Minh
07:00 | 04/10/2021
08:00 | 24/02/2022
10:00 | 29/03/2024
09:00 | 23/09/2021
14:00 | 02/08/2023
13:00 | 14/09/2021
07:00 | 08/11/2021
16:00 | 19/10/2021
08:00 | 12/03/2021
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
08:00 | 10/02/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024