Các chuyên gia cho biết rằng, họ có thể vượt qua màn hình khóa Apple Pay của iPhone để thực hiện các thanh toán không tiếp xúc khi thẻ Visa được cài đặt trên chế độ chuyển tiếp nhanh (Express Transit mode) trong ví iPhone. Chế độ chuyển tiếp cho phép người dùng tiến hành thanh toán di động không tiếp xúc nhanh chóng mà không cần xác thực vân tay hoặc nhận diện khuôn mặt, ví dụ tại một cửa quay của ga tàu điện ngầm.
Đội nghiên cứu đã sử dụng thiết bị radio đơn giản để khám phá mã độc mới nhất được phát bởi những cổng chuyển tiếp hoặc các trình điều khiển cửa quay mà có thể mở khóa Apple Pay. Đoạn mã này được gọi là "magic bytes", được sử dụng để can thiệp vào các tín hiệu di chuyển giữa iPhone và đầu đọc thẻ. Những nhà nghiên cứu có thể tạo tín hiệu làm cho iPhone nhận biết rằng nó đang tương tác với một cổng chuyển tiếp mà không phải một đầu đọc thẻ bằng cách phát "magic bytes" và thay đổi các trường khác trong giao thức.
Do đó, lỗ hổng này có khả năng bị tin tặc lợi dụng nhằm thực hiện những giao dịch từ iPhone được cất trong túi của một người dùng mà họ không hề hay biết.
Kỹ thuật này còn cho phép các chuyên gia vượt qua giới hạn thanh toán không tiếp xúc, cho phép lấy tiền trong tài khoản người dùng iPhone mà không hề nhận ra. Lý do là vì đầu đọc thẻ đã mặc định rằng iPhone đã thực hiện thành công xác thực người dùng.
Các nhà nghiên cứu nhấn mạnh rằng, lỗ hổng chỉ áp dụng cho những hệ thống Apple Pay và thẻ Visa hoạt động cùng nhau và không ảnh hưởng các tổ hợp khác, ví dụ như thẻ Mastercard trên iPhone.
Tiến sĩ Andreea Radu, giảng viên Trường Khoa học máy tính tại Đại học Birmingham, nhận xét: "Nghiên cứu của chúng tôi đã cho thấy một ví dụ rõ ràng về một tính năng, với mục đích từng bước làm cho cuộc sống trở lên dễ dàng hơn, nhưng lại trở nên phản tác dụng và tác động tiêu cực tới bảo mật, với khả năng gây ra những hậu quả tài chính nghiêm trọng đối với người dùng. Các cuộc thảo luận của chúng tôi với Apple và Visa cho thấy dù hai bên đều có lỗi một phần, nhưng cả hai đều không sẵn sàng nhận trách nhiệm và thực hiện sửa chữa, khiến người dùng dễ bị tấn công bất kỳ lúc nào".
Cũng trong nhóm nghiên cứu, Tiến sĩ Tom Chothia, đến từ Trường Khoa học máy tính tại Đại học Birmingham, cho biết thêm: "Người sở hữu iPhone nên kiểm tra xem họ có thẻ Visa được cài đặt cho thanh toán chuyển tiếp hay không, nếu có thì người dùng nên vô hiệu hóa nó. Người dùng Apple Pay không hẳn là sẽ gặp nguy hiểm, nhưng chỉ khi Apple hoặc Visa khắc phục điều này thì mới có thể yên tâm về tài khoản của mình".
Phản hồi với các phát hiện này, Brian Higgins, chuyên gia bảo mật tại công ty Comparitech khuyến cáo những người dùng Apple Pay và Visa nên xem xét thay đổi nhà cung cấp dịch vụ. "Loại hình khai thác này liên quan đến việc tìm kiếm dữ liệu anten kết nối trường gần (NFC - Near Field Communication) từ các thẻ thanh toán không tiếp xúc khi chúng bắt đầu trở lên phổ biến. Khi đó, hầu như không thể kết nối dữ liệu thô cho một chủ thẻ cá nhân, do đó không ai bận tâm đến điều này”.
“Hiện nay, có thể trích xuất các khoản thanh toán ngay lập tức với loại thiết bị phù hợp, nhưng đáng tiếc rằng không bên nào giữa Apple hay Visa chú ý quan tâm đến mối đe dọa đối với khách hàng, và như thường lệ, người tiêu dùng phải tự bảo vệ mình. Các nghiên cứu xác định nhiều nhà cung cấp dịch vụ đã có sẵn các biện pháp để ngăn chặn mối đe dọa này. Lời khuyên tốt nhất là người dùng nên đổi sang một trong những nhà cung cấp dịch vụ này sớm nhất có thể".
Quang Minh
07:00 | 04/10/2021
08:00 | 24/02/2022
10:00 | 29/03/2024
09:00 | 23/09/2021
14:00 | 02/08/2023
13:00 | 14/09/2021
07:00 | 08/11/2021
16:00 | 19/10/2021
08:00 | 12/03/2021
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
07:00 | 18/01/2024
Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024