नए शोध के अनुसार, ऐप्पल पे और वीज़ा में कमजोरियाँ हैकर्स को आईफोन की ऐप्पल पे लॉक स्क्रीन को बायपास करने और संपर्क रहित भुगतान करने में सक्षम बना सकती हैं।

बर्मिंघम विश्वविद्यालय और सरे विश्वविद्यालय के शोधकर्ताओं ने पाया कि भेद्यता तब होती है जब वीज़ा कार्ड आईफोन के वॉलेट में ‘एक्सप्रेस ट्रांजिट मोड’ में स्थापित किए जाते हैं।

ट्रांज़िट मोड कई स्मार्टफ़ोन पर एक विशेषता है जो यात्रियों को एक त्वरित संपर्क रहित मोबाइल भुगतान करने में सक्षम बनाता है, उदाहरण के लिए, एक भूमिगत स्टेशन टर्नस्टाइल, बिना फिंगरप्रिंट प्रमाणीकरण.

बर्मिंघम विश्वविद्यालय के शोधकर्ता एंड्रिया राडू ने कहा, “हमारा काम एक सुविधा का एक स्पष्ट उदाहरण दिखाता है, जिसका उद्देश्य उपयोगकर्ताओं के लिए संभावित गंभीर वित्तीय परिणामों के साथ जीवन को आसान बनाना, बैकफायरिंग और नकारात्मक रूप से सुरक्षा को नकारात्मक रूप से प्रभावित करना है।”

कमजोरी ऐप्पल पे और वीज़ा सिस्टम में एक साथ काम करने में निहित है और अन्य संयोजनों को प्रभावित नहीं करता है, जैसे कि आईफ़ोन में मास्टरकार्ड, या सैमसंग पे पर वीज़ा, अध्ययन, 2022 IEEE संगोष्ठी में सुरक्षा और गोपनीयता पर प्रस्तुत किया जाना है, संकेत दिया।

साधारण रेडियो उपकरण का उपयोग करते हुए, टीम ने ट्रांजिट गेट्स या टर्नस्टाइल द्वारा प्रसारित एक अद्वितीय कोड की पहचान की। यह कोड, जिसे शोधकर्ताओं ने ‘मैजिक बाइट्स’ का उपनाम दिया है, Apple पे को अनलॉक कर देगा।

टीम ने पाया कि वे तब इस कोड का उपयोग iPhone और एक शॉप कार्ड रीडर के बीच जाने वाले संकेतों में हस्तक्षेप करने में सक्षम थे। मैजिक बाइट्स को प्रसारित करके और प्रोटोकॉल में अन्य क्षेत्रों को बदलकर, वे आईफोन को यह सोचकर मूर्ख बनाने में सक्षम थे कि यह एक ट्रांजिट गेट से बात कर रहा था, जबकि वास्तव में, यह एक दुकान पाठक से बात कर रहा था।

साथ ही, शोधकर्ताओं की विधि दुकान पाठक को आश्वस्त करती है कि आईफोन ने अपने उपयोगकर्ता प्राधिकरण को सफलतापूर्वक पूरा कर लिया है, इसलिए किसी भी राशि का भुगतान आईफोन के उपयोगकर्ता के ज्ञान के बिना लिया जा सकता है।

शोधकर्ताओं ने पाया कि उनके दृष्टिकोण का उपयोग किसी भी राशि के लेन-देन की अनुमति देने के लिए संपर्क रहित सीमा को बायपास करने के लिए भी किया जा सकता है।





Source link

By admin

Leave a Reply

Your email address will not be published. Required fields are marked *