Araştırmalar, Apple Pay ve Visa’nın ödeme sisteminde bir güvenlik açığı buldu. Araştırmacılar, dolandırıcıların güvenlik önlemlerini atlatmak ve sınırsız temassız alışveriş yapmak için kullanabileceği bir hata bulduktan sonra, iPhone kullanıcılarına Visa’yı iptal etmeyi tavsiye ettiler.
Birmingham Üniversitesi ve Surrey Üniversitesi’nden uzmanlar, bulunan güvenlik açığı sebebiyle birisinin bagajındaki bir iPhone’dan, fark ettirilmeden işlem yapılabileceğine dair duydukları endişeleri dile getirdiler.
Apple Pay ve Visa’ya güvenlik açığı şoku
Sorunun yalnızca Apple Pay ile bir Visa kartının Ekspres Taşıma modu olarak da bilinen Ekspres Seyahat Kartı olarak ayarlandığında ortaya çıktığı söyleniyor. Ekip, iPhone’u gerçekten bir ödeme okuyucusuyken bir geçiş kapısıyla iletişim kurduğuna inandırmak için basit radyo ekipmanı kullandı. Bu, geçiş kapıları tarafından gönderilen ve daha sonra iPhone ile bir mağaza kartı okuyucusu arasındaki sinyallere müdahale etmek için kullanılan benzersiz bir kodun algılanmasıyla gerçekleştirildi.
Birmingham Üniversitesi’nden Dr. Tom Chothia güvenlik açığı hakkında, “iPhone sahipleri, transit ödemeler için ayarlanmış bir Visa kartı olup olmadığını kontrol etmeli ve varsa bunu devre dışı bırakmalılar. Apple Pay kullanıcılarının tehlikede olmasına gerek yok. Ancak Apple veya Visa bunu düzeltene kadar kullanıcılar dikkatli olmalı.” ifadelerini kullandı.
Grubun testleri, arka uç dolandırıcılık tespit kontrollerinin herhangi bir ödemenin yapılmasını engelleyemediğini buldu. Araştırmacılar, Apple ve Visa ile güvenlik açığı hakkında konuştuklarını ve her ikisinin de altta yatan sorunun önemini kabul ettiklerini ancak çözümü kimin uygulaması gerektiği konusunda henüz bir anlaşmaya varamadıklarını iddia ettiler.
Visa’nın sözcüsü, “Temassız dolandırıcılık planlarının çeşitleri, laboratuvar ortamlarında on yıldan fazla bir süredir incelenmekte ve gerçek dünyada büyük ölçekte uygulanmasının pratik olmadığı kanıtlanmıştır… Visa, tüm güvenlik tehditlerini çok ciddiye alıyor ve ekosistem genelinde ödeme güvenliğini güçlendirmek için yorulmadan çalışıyoruz” dedi.
Apple ise konu hakkında, “Kullanıcıların güvenliğine yönelik her türlü tehdidi çok ciddiye alıyoruz. Bu durum, Visa sistemiyle ilgili bir endişe. Ancak Visa, çoklu güvenlik katmanları göz önüne alındığında, bu tür bir sahtekarlığın gerçek dünyada gerçekleşeceğine inanmıyor. Beklenmedik bir durumda yetkisiz bir ödemenin gerçekleşmesi durumunda Visa, kart sahiplerinin Visa’nın sıfır sorumluluk politikasıyla korunduğunu açıkça belirtti.” açıklamalarında bulundu.
Apple ve Visa bir anlaşmaya varamadı
Araştırmanın lideri Dr. Andreea Radu, “Çalışmamız, kullanıcılar için potansiyel olarak ciddi mali sonuçlar doğuran, hayatı aşamalı olarak kolaylaştıran, geri tepen ve güvenliği olumsuz etkileyen bir özelliğin açık bir örneğini gösteriyor… Apple ve Visa ile yaptığımız görüşmeler, iki endüstri tarafının her birinin kısmen suçu olduğunda, ikisinin de sorumluluk kabul etmeye ve bir düzeltme uygulamaya istekli olmadığını ve kullanıcıları süresiz olarak savunmasız bıraktığını ortaya koydu.” dedi.
Güvenlik açığı, iPhone’larda Mastercard veya Samsung Pay’de Visa gibi diğer kombinasyonlar için geçerli değil. Araştırmacıların tüm bulguları, 2022 IEEE Güvenlik ve Gizlilik Sempozyumu’nda ayrıntılarıyla açıklayacağı duyuruldu..
