Bilim ve teknoloji kanalı Veritasium ile ünlü teknoloji içerik üreticisi Marques Brownlee tarafından gerçekleştirilen bir deney, Apple Pay’in “Express Transit” özelliğiyle ilgili güvenlik tartışmalarını yeniden gündeme taşıdı.
Bilim ve teknoloji kanalı Veritasium ile ünlü teknoloji içerik üreticisi Marques Brownlee tarafından gerçekleştirilen bir deneyde, kilitli durumdaki bir iPhone’dan Face ID veya şifre kullanılmadan 10 bin dolarlık ödeme gerçekleştirildi.
Olay doğrudan bir “iPhone hacki” değil; Visa kartlarıyla çalışan Express Transit sistemindeki bir açıkla bağlantılı. Araştırmacılar, özel NFC ekipmanları ve dizüstü bilgisayar kullanarak telefonu bir toplu taşıma terminaline bağlanıyormuş gibi kandırdı. Böylece cihaz kilitliyken bile ödeme yetkisi alınabildi.
Sistemin çalışma mantığı, metro veya otobüs geçişlerinde kullanıcıların telefonlarını açmadan hızlı ödeme yapabilmesine dayanıyor. Ancak araştırmacılar, bu kolaylığın kötüye kullanılabileceğini gösterdi. Deneyde kullanılan yöntem “man-in-the-middle” yani aradaki adam saldırısı olarak tanımlanıyor. Sahte bir NFC okuyucu, iPhone ile ödeme terminali arasındaki iletişimi yakalayarak gerçek terminale aktardı ve yüksek tutarlı ödeme onayı oluşturdu.
Açık ilk kez 2021 yılında İngiltere’deki Surrey ve Birmingham üniversitelerindeki siber güvenlik araştırmacıları tarafından rapor edilmişti. Buna rağmen Visa ve Apple’ın bugüne kadar sistemi tamamen değiştirmediği belirtiliyor. Apple, sorunun Visa altyapısıyla ilgili olduğunu savunurken Visa ise gerçek dünyada bu tür saldırıların “oldukça düşük” ihtimal taşıdığını ifade ediyor.
Uzmanlara göre saldırının gerçekleşmesi için fiziksel yakınlık, özel donanım ve kullanıcının Express Transit için Visa kartı tanımlamış olması lazım. Bu arada aynı yöntemin Mastercard veya American Express kartlarında çalışmadığı belirtiliyor.
Teknoloji çevrelerinde geniş yankı uyandıran deney sonrası birçok uzman, kullanıcıların isterlerse iPhone ayarlarından “Express Transit” özelliğini kapatabileceğini hatırlattı.
