Teknoloji dünyasının yakından tanıdığı isimlerden Marques Brownlee’nin (MKBHD) iPhone’u üzerinden yapılan bir deney, oldukça dikkat çekici bir sonucu ortaya koydu. Surrey ve Birmingham Üniversitelerinden siber güvenlik araştırmacıları, kilitli bir iPhone üzerinden tam 10.000 dolarlık işlem gerçekleştirdi.
Deney, Veritasium YouTube kanalında yayınlanan bir içerikle geniş kitlelere ulaştı. Aslında olayın özü şu: Telefonun kilidi açılmadan ödeme yapılmasını sağlayan bir sistem, yani Hızlı Toplu Taşıma modu, beklenmedik bir şekilde suistimal edilebiliyor.
Saldırının temelinde Yakın Alan İletişimi (NFC) teknolojisi var. Normalde hayatı kolaylaştırmak için geliştirilen bu sistem, burada farklı bir şekilde kullanılmış.
Araştırmacılar, telefonu sahte bir toplu taşıma terminaline bağlanıyormuş gibi kandırıyor. İşin içine biraz karmaşık donanım giriyor tabii. Özel bir NFC okuyucu, bir dizüstü bilgisayar ve ikinci bir telefonla kurulan düzenek sayesinde ödeme verileri ele geçiriliyor.
Sonrasında ise bu veriler başka bir cihaz üzerinden gerçek bir ödeme terminaline aktarılıyor. Yani işlem zinciri teknik olarak “meşru” görünüyor ama aslında tamamen manipüle edilmiş durumda.
Normal şartlarda temassız ödemelerde belirli limitler var. Ancak bu yöntemde o sınırlar tamamen devre dışı bırakılıyor.
Araştırmacılar, iPhone’un toplu taşıma modunu kullanarak bu limitleri aşmayı başardı. Üstelik işlem için telefonun kilidinin açılmasına da gerek kalmadı. İşte burası biraz düşündürücü.
Bu açık herkesi etkilemiyor. Yapılan testlere göre sorun yalnızca iPhone ve Visa kart kombinasyonunda ortaya çıkıyor.
Mastercard ve American Express kartlarda aynı durum gözlemlenmedi. Benzer şekilde Samsung Pay kullanan cihazlarda da böyle bir açık tespit edilmedi. Bu da sorunun doğrudan Apple’dan mı yoksa Visa’nın altyapısından mı kaynaklandığı tartışmasını beraberinde getirdi.
Apple, topu Visa’ya atarken; Visa ise bu tür bir saldırının gerçek hayatta uygulanmasının “neredeyse imkansız” olduğunu savunuyor.
Şunu da net söylemek gerekiyor: Bu saldırı öyle uzaktan yapılabilecek bir şey değil. Saldırganın hedef cihaza fiziksel olarak yakın olması gerekiyor.
Ayrıca özel donanım ve ciddi teknik bilgi şart. Yani herkesin kolayca uygulayabileceği bir yöntem değil. Ama yine de, açık olması bile başlı başına bir soru işareti.
Uzmanlar, riski azaltmak için bazı basit önlemler öneriyor. Bunların başında ise iPhone’daki toplu taşıma ödemelerinde Visa kartını varsayılan olarak kullanmamak geliyor.
Ayrıca dijital cüzdan ayarlarını gözden geçirmek ve hesap hareketlerini düzenli kontrol etmek de önemli. Küçük gibi görünen bu adımlar, olası bir sorunun önüne geçebilir.
Google Play
App Store
10:31
