Ευπάθειες στις ανέπαφες πληρωμές: Ένα ανησυχητικό πείραμα με iPhone
Η τεχνολογία των ανέπαφων πληρωμών έχει γίνει αναπόσπαστο κομμάτι της καθημερινής μας ζωής, καθώς τα smartphones αντικαθιστούν ολοένα και περισσότερο τα παραδοσιακά πορτοφόλια. Ωστόσο, πρόσφατη επίδειξη ερευνητών αναδεικνύει σημαντικές αδυναμίες σε αυτά τα συστήματα, αποδεικνύοντας ότι ακόμη και οι πιο εξελιγμένες τεχνολογίες δεν είναι απαλλαγμένες από κινδύνους.
Η Επίδειξη και η Τεχνική Man-in-the-Middle
Στο πείραμα, ειδικοί στην κυβερνοασφάλεια τοποθέτησαν ένα iPhone πάνω σε μια συσκευή που προσομοίωνε τερματικό πληρωμών. Χωρίς να απαιτείται κανένα ξεκλείδωμα ή επιβεβαίωση από τον χρήστη, πραγματοποιήθηκε χρέωση αρχικά μικρού ποσού, φτάνοντας μέχρι και 10.000 δολάρια, με τη συσκευή να παραμένει κλειδωμένη καθ’ όλη τη διάρκεια της διαδικασίας.
Η μέθοδος που χρησιμοποιήθηκε είναι γνωστή ως man-in-the-middle, όπου οι επιτιθέμενοι παρεμβάλλονται στις επικοινωνίες μεταξύ του smartphone και του τερματικού, υποκλέπτοντας και τροποποιώντας τα δεδομένα που ανταλλάσσονται μέσω NFC.
Πώς Λειτούργησε η Επίθεση
Για να εκτελέσουν την επίθεση, οι ερευνητές εκμεταλλεύτηκαν το Express Transit Mode, μια λειτουργία που επιτρέπει ανέπαφες πληρωμές χωρίς απαίτηση ξεκλειδώματος. Με την παραποίηση των σημάτων, το iPhone «πίστεψε» ότι επικοινωνεί με ένα τερματικό συγκοινωνίας, παρακάμπτοντας έτσι τους μηχανισμούς ασφαλείας.
Στη συνέχεια, αλλοιώθηκε η ένδειξη που καθόριζε την αξία της συναλλαγής, επιτρέποντας ακόμη και μεγάλες χρεώσεις να εμφανίζονται ως χαμηλής αξίας. Τέλος, τροποποιήθηκε η απάντηση προς το POS, ώστε να φαίνεται ότι η συναλλαγή είχε εγκριθεί κανονικά από τον χρήστη.
Αιτίες και Συνεπαγωγές της Ευπάθειας
Μία από τις κύριες αιτίες που καθιστούν δυνατή αυτή την επίθεση είναι ότι μέρος της επικοινωνίας δεν είναι πλήρως κρυπτογραφημένο, λόγω της ανάγκης συμβατότητας με διάφορα διεθνή συστήματα πληρωμών. Επίσης, οι διαφορές στην υλοποίηση των ελέγχων ασφαλείας από τα δίκτυα καρτών, ειδικότερα σε σχέση με τη χρήση iPhone και Visa, παίζουν ρόλο στην εκμετάλλευση αυτής της ευπάθειας.
Αν και η επίθεση απαιτεί εξειδικευμένο εξοπλισμό και δεν θεωρείται εύκολα εφαρμόσιμη σε μεγάλες κλίμακες, η διαπίστωση ότι παραμένει ενεργή από το 2021 προκαλεί ανησυχίες.
Αντιμετώπιση του Κινδύνου
- Απενεργοποιήστε το Express Transit Mode, αν δεν είναι απαραίτητο.
- Ελέγξτε τις κάρτες που χρησιμοποιούνται για ανέπαφες πληρωμές.
- Παρακολουθείτε τακτικά τις συναλλαγές σας για τυχόν ανωμαλίες.
Αν και η Apple αποδίδει την ευθύνη στην ευπάθεια του συστήματος Visa, η Visa υποστηρίζει ότι τέτοια περιστατικά είναι σπάνια και οι χρήστες καλύπτονται μέσω πολιτικών επιστροφής χρημάτων σε περιπτώσεις απάτης.
Συμπέρασμα
Η περίπτωση αυτή δεν υποδηλώνει ότι οι ανέπαφες πληρωμές είναι ανασφαλείς, αλλά αναδεικνύει ότι ακόμη και ώριμες τεχνολογίες μπορούν να παρουσιάσουν αδυναμίες. Το ερώτημα που παραμένει είναι εάν τέτοιες ευπάθειες είναι αποδεκτές σε ένα σύστημα που διαχειρίζεται καθημερινά δισεκατομμύρια συναλλαγές παγκοσμίως.
