اكتشف باحثو الأمن السيبراني ثغرة جديدة في آلية Apple Pay قد تعرض مستخدمي iPhone إلى خطر السرقة. وما يثير القلق أن السرقة قد تتم بطريقة لاسلكية تماماً، لذلك قد لا يدرك الضحية أنه تعرض للسرقة إلا بعد ساعات أو أيام.

تُعتبر خدمة Apple Pay من أكثر طرق الدفع من دون تلامس أماناً المستخدمة في العالم اليوم، ومن غير المعتاد أن نسمع عن ضعف أمني مماثل أو ثغرات أمنية محتملة.

 

كيف يمكن اختراق Apple Pay ؟

تعمل تقنية اختراق Apple Pay من خلال خداع جهاز آيفون الخاص بالضحية، مما يجعله يعتقد أن صاحبه قريب من غرفة التذاكر التي يمكن شراؤها من دون لمس، مثل تلك الموجودة في أنظمة المترو في معظم المدن الكبرى. وباستخدام جهاز راديو صغير فقط، يتم خداع جهاز iPhone لتنشيط ميزة “Express Transit” في Apple Pay.

يتم توصيل جهاز الراديو أيضاً بهاتف محمول آخر يقوم بترحيل الدفعة إلى البطاقة. وبذلك، تقوم البطاقة بسحب مبلغ مالي من حساب الضحية في Apple Pay قد يصل إلى 1000 جنيه إسترليني.

تم تصميم Express Transit في الأساس لتسهيل وتسريع مرور المسافرين عبر بوابات الدفع. يمكنهم ببساطة النقر على قارئ البطاقة في هاتفهم لإكمال الدفع الآلي، حتى أنهم ليسوا بحاجة لإلغاء قفل جهاز iPhone الخاص بهم أو إدخال رقم التعريف الشخصي أو تأكيد المبلغ المدفوع. العملية برمتها “صامتة”، لذلك لا تدرك الضحية ما حدث إلا بعد فوات الأوان.

من الناحية النظرية، يمكن للمخترق الوقوف في مكان مزدحم وإجراء مئات التحويلات الاحتيالية كل ساعة باستخدام هذه التقنية.

 

لا هجمات حتى الساعة

في خبر سار، لا يبدو أن المجرمين قد استخدموا هذه التقنية في الاختراق حتى الآن. إذ تم اكتشاف الثغرة من قبل الباحثين الأمنيين الذين يحاولون إيجاد وإصلاح المشاكل قبل أن يتم إساءة استخدامها.

تؤثر الثغرة أيضًا على بطاقات Visa التي تم تكوينها للاستخدام مع Express Transit. لا يمكن “خداع” مستخدمي بطاقات MasterCard و American Express باستخدام هذا الاختراق.

لم يؤكد الباحثون بعد ما إذا كان هذا الاختراق يؤثر أيضًا على Apple Watch التي تحوي ميزة الدفع عبر Express Transit.

 

خطوات لحماية النفس

على الرغم من أن المجرمين لم يقوموا بعد باختراق Apple Pay، ولكن من المحتمل جدًا أنهم سيحاولون تجربة شيء مشابه في المستقبل.

وبالتالي، هناك طريقتان يمكنكم من خلالهما حماية أنفسكم:

– قوموا بتغيير إعدادات Express Transit لاختيار بطاقة جديدة غير Visa.

– أو يمكنكم تعطيل الخدمة عبر اختيار “none” في إعدادات Express Travel.

تجدر الإشارة إلى أن تعطيل Express Transit لن يؤدي إلى منعكم من استخدام iPhone للدفع مقابل السفر، وإنما ستحتاجون إلى استخدام FaceID أو TouchID لتنشيط محفظتكم عندما تقتربون من حاجز التذاكر.

قد يكون من المفيد أيضاً تطبيق هذه التغييرات على Apple Watch، في حال تعرضها للاختراق أيضا في المستقبل.