Birmingham ve Surrey Üniversiteleri'nin bilgisayar bilimi bölümünden araştırmacılar, bu durumun Visa ödeme sistemindeki bir zayıflıktan kaynaklandığını tespit etti.
Sadece kendi hesaplarından para çeken araştırmacılar, radyo dalgası yayabilen bir aracı iPhone'un yanına yaklaştırarak cihazın bir bilet gişesi olduğu algısını yarattı.
O sırada bir Android telefon kullanılarak iPhone'un temassız ödeme terminaline giden sinyallerin yönlendirilmesi sağlandı.
Bu yöntemle iPhone'un kilidinin açılmadan ve şifre girilmeden büyük miktarda ödemelerin yapılmasına yol açılabileceği keşfedildi.
Araştırmacılara göre ödemenin alınabilmesi için internet bağlantısı olduğu müddetçe terminalin ve Android telefonun iPhone'un yakınında olması gerekmiyor.
Şimdilik araştırma sadece laboratuvar ortamında test edildi; suçluların böyle bir yöntem kullandığına dair henüz bir işaret yok.
Araştırmacılara göre kilitli iPhone telefonlarda, bilet kuyruklarında beklemenin önünü almak için kullanılan ve Visa ile çalışan Apple'ın ödeme sistemi Apple Pay ile izin verilmeyen temassız ödemeler gerçekleştirilebilir.
Paylaştıkları videoda araştırmacılar kilitli bir iPhone telefon ile 1000 sterlin temassız ödeme yaptıklarını gösterdi.
Apple ve Visa ne diyor?
Apple bu durumun Visa'nın sistemiyle ilgili olduğunu belirtti.
Visa ise ödeme sistemlerinin güvenli olduğunu, bu tarz saldırıların laboratuvar ortamı dışında gerçekleşmediğini aktardı.
Araştırmacılara göre sorun iPhone'un ödeme sistemi üzerinde eğer Visa kartlarda hızlı geçiş özelliği varsa ortaya çıkıyor.
Bu ödeme sayesinde toplu ulaşım araçlarında Apple Pay ile telefonun kilidi açılmadan ödeme yapılabiliyor.
Kayıp ya da çalıntı telefonlara yönelik bir tehdit
Araştırmada yer almayan ve BBC'ye konuşan Pen Test Partners şirketinden araştırmacı Ken Munro, bulguların kritik olduğunu ve bu açığın giderilmesi gerektiğini söyledi.
Munro'ya göre en büyük kaygı kayıp ya da çalınan telefonlara yönelik.
Araştırmacılar, Apple ve Visa'ya bu açıkla ilgili bir yıl önce ulaştıklarını, verimli konuşmaların yapıldığını, ancak sorunun çözülmediğini aktardı.
Visa'nın görüşü bu saldırının pratikte hayata geçirilmesinin kolay olmadığı yönünde.
Şirket, BBC'ye yaptıkları açıklamada sistemlerinin güvenilir olduğunu ve kullanıcıların şüpheye düşmeden kartlarını kullanmaya devam edebileceklerini belirtti.
Apple ise BBC'ye yaptığı açıklamada güvenlik ile her mevzuyu ciddeye aldıklarını ancak bu sorunun Visa'nın sistemi ile ilgili olduğunu, Visa'nın da böyle bir sahtekarlığın meydana gelebileceğini düşünmediğini iletti.
İzin verilmeyen bir ödeme yapılsa bile bunun Visa'nın altyapısı tarafından korunduğunun belirtildiği de açıklamaya eklendi.
Araştırma ekibinin başı olan Birmingham Üniversitesi'nden Dr. Andreea Radu ise suçluların böylesi karmaşık saldırıları kurgulayabileceğine inanıyor.
Radu'ya göre birkaç yıl içinde bu tarz saldırılar gerçeğe dönüşebilir.
Araştırmacılar Samsung Pay ve Mastercard'ı da araştırdıklarını, ancak bu sistemlerde böylesi bir güvenlik açığı bulmadıklarını aktardı.
