Các chuyên gia cho biết rằng, họ có thể vượt qua màn hình khóa Apple Pay của iPhone để thực hiện các thanh toán không tiếp xúc khi thẻ Visa được cài đặt trên chế độ chuyển tiếp nhanh (Express Transit mode) trong ví iPhone. Chế độ chuyển tiếp cho phép người dùng tiến hành thanh toán di động không tiếp xúc nhanh chóng mà không cần xác thực vân tay hoặc nhận diện khuôn mặt, ví dụ tại một cửa quay của ga tàu điện ngầm.
Đội nghiên cứu đã sử dụng thiết bị radio đơn giản để khám phá mã độc mới nhất được phát bởi những cổng chuyển tiếp hoặc các trình điều khiển cửa quay mà có thể mở khóa Apple Pay. Đoạn mã này được gọi là "magic bytes", được sử dụng để can thiệp vào các tín hiệu di chuyển giữa iPhone và đầu đọc thẻ. Những nhà nghiên cứu có thể tạo tín hiệu làm cho iPhone nhận biết rằng nó đang tương tác với một cổng chuyển tiếp mà không phải một đầu đọc thẻ bằng cách phát "magic bytes" và thay đổi các trường khác trong giao thức.
Do đó, lỗ hổng này có khả năng bị tin tặc lợi dụng nhằm thực hiện những giao dịch từ iPhone được cất trong túi của một người dùng mà họ không hề hay biết.
Kỹ thuật này còn cho phép các chuyên gia vượt qua giới hạn thanh toán không tiếp xúc, cho phép lấy tiền trong tài khoản người dùng iPhone mà không hề nhận ra. Lý do là vì đầu đọc thẻ đã mặc định rằng iPhone đã thực hiện thành công xác thực người dùng.
Các nhà nghiên cứu nhấn mạnh rằng, lỗ hổng chỉ áp dụng cho những hệ thống Apple Pay và thẻ Visa hoạt động cùng nhau và không ảnh hưởng các tổ hợp khác, ví dụ như thẻ Mastercard trên iPhone.
Tiến sĩ Andreea Radu, giảng viên Trường Khoa học máy tính tại Đại học Birmingham, nhận xét: "Nghiên cứu của chúng tôi đã cho thấy một ví dụ rõ ràng về một tính năng, với mục đích từng bước làm cho cuộc sống trở lên dễ dàng hơn, nhưng lại trở nên phản tác dụng và tác động tiêu cực tới bảo mật, với khả năng gây ra những hậu quả tài chính nghiêm trọng đối với người dùng. Các cuộc thảo luận của chúng tôi với Apple và Visa cho thấy dù hai bên đều có lỗi một phần, nhưng cả hai đều không sẵn sàng nhận trách nhiệm và thực hiện sửa chữa, khiến người dùng dễ bị tấn công bất kỳ lúc nào".
Cũng trong nhóm nghiên cứu, Tiến sĩ Tom Chothia, đến từ Trường Khoa học máy tính tại Đại học Birmingham, cho biết thêm: "Người sở hữu iPhone nên kiểm tra xem họ có thẻ Visa được cài đặt cho thanh toán chuyển tiếp hay không, nếu có thì người dùng nên vô hiệu hóa nó. Người dùng Apple Pay không hẳn là sẽ gặp nguy hiểm, nhưng chỉ khi Apple hoặc Visa khắc phục điều này thì mới có thể yên tâm về tài khoản của mình".
Phản hồi với các phát hiện này, Brian Higgins, chuyên gia bảo mật tại công ty Comparitech khuyến cáo những người dùng Apple Pay và Visa nên xem xét thay đổi nhà cung cấp dịch vụ. "Loại hình khai thác này liên quan đến việc tìm kiếm dữ liệu anten kết nối trường gần (NFC - Near Field Communication) từ các thẻ thanh toán không tiếp xúc khi chúng bắt đầu trở lên phổ biến. Khi đó, hầu như không thể kết nối dữ liệu thô cho một chủ thẻ cá nhân, do đó không ai bận tâm đến điều này”.
“Hiện nay, có thể trích xuất các khoản thanh toán ngay lập tức với loại thiết bị phù hợp, nhưng đáng tiếc rằng không bên nào giữa Apple hay Visa chú ý quan tâm đến mối đe dọa đối với khách hàng, và như thường lệ, người tiêu dùng phải tự bảo vệ mình. Các nghiên cứu xác định nhiều nhà cung cấp dịch vụ đã có sẵn các biện pháp để ngăn chặn mối đe dọa này. Lời khuyên tốt nhất là người dùng nên đổi sang một trong những nhà cung cấp dịch vụ này sớm nhất có thể".
Quang Minh
10:00 | 29/03/2024
07:00 | 04/10/2021
08:00 | 24/02/2022
09:00 | 23/09/2021
10:00 | 04/12/2024
14:00 | 02/08/2023
13:00 | 14/09/2021
07:00 | 08/11/2021
16:00 | 19/10/2021
08:00 | 12/03/2021
10:00 | 04/11/2024
Tại Hội nghị thượng đỉnh phân tích bảo mật 2024, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ, các vụ tấn công do mã độc Grandoreiro gây ra nhắm tới hơn 1.700 ngân hàng, chiếm 5% tổng số vụ tấn công bằng trojan vào các ngân hàng trong năm nay.
13:00 | 31/10/2024
Từ đầu năm 2023 đến tháng 9/2024, các chuyên gia của hãng bảo mật Kaspersky đã phát hiện hơn 500 tin quảng cáo về công cụ Exploit để khai thác các lỗ hổng zero-day trên web đen và các kênh Telegram ẩn dạnh.
10:00 | 27/10/2024
Kho lưu trữ Internet Archive, nơi lưu giữ lịch sử toàn bộ Internet, xác nhận họ đã bị tấn công, làm lộ dữ liệu của 31 triệu người dùng. Ngay cả những tổ chức uy tín nhất cũng không miễn nhiễm với các cuộc tấn công mạng tinh vi.
21:00 | 29/08/2024
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
Công ty an ninh mạng VulnCheck (Mỹ) vừa qua đã lên tiếng cảnh báo rằng, tin tặc có thể đang khai thác một lỗ hổng bảo mật nghiêm trọng trên các máy chủ ProjectSend, vốn đã được vá cách đây khoảng một năm.
10:00 | 04/12/2024