Ένα πολυσυζητημένο ζήτημα στον χώρο της κυβερνοασφάλειας αφορά μια πιθανή ευπάθεια που σχετίζεται με iPhone, NFC πληρωμές και κάρτες Visa, η οποία θεωρητικά θα μπορούσε να επιτρέψει σε επιτιθέμενους να πραγματοποιήσουν συναλλαγές από μια κλειδωμένη συσκευή. Το σενάριο αυτό δεν είναι απλό ούτε εύκολο στην πράξη, αλλά έχει προκαλέσει ενδιαφέρον επειδή συνδυάζει τεχνολογίες καθημερινής χρήσης με μια ασυνήθιστη αλυσίδα επίθεσης.
Η έρευνα, που παρουσιάστηκε από ακαδημαϊκούς των Πανεπιστημίων Surrey και Birmingham, περιγράφει μια μέθοδο κατά την οποία ένας επιτιθέμενος μπορεί να εκμεταλλευτεί το σύστημα ανέπαφων πληρωμών (NFC) σε συγκεκριμένες συνθήκες. Η ιδέα βασίζεται στο ότι ένα iPhone με ενεργοποιημένο το Express Transit Mode μπορεί να πραγματοποιήσει γρήγορες συναλλαγές χωρίς ξεκλείδωμα, για λόγους ευκολίας σε μέσα μεταφοράς.
Στο υποθετικό σενάριο της επίθεσης, απαιτείται φυσική πρόσβαση στη συσκευή και εξειδικευμένος εξοπλισμός. Ένας NFC αναγνώστης παρεμβάλλεται στην επικοινωνία μεταξύ κινητού και τερματικού πληρωμής, ενώ δεδομένα ανακατευθύνονται μέσω υπολογιστή και άλλης συσκευής που μιμείται νόμιμη συναλλαγή σε πραγματικό τερματικό. Με αυτόν τον τρόπο επιχειρείται να «ξεγελαστεί» το σύστημα ώστε να εγκρίνει πληρωμή σαν να πρόκειται για κανονική μεταφορά ή αγορά.
Η συγκεκριμένη διαδικασία έχει παρουσιαστεί σε επιδείξεις από ερευνητές και έχει γίνει viral μέσω τεχνολογικών καναλιών, όπως το Veritasium, το οποίο ανέδειξε το θέμα σε ευρύτερο κοινό. Σε κάποιες αναπαραστάσεις, έγινε λόγος για μεγάλες συναλλαγές ως απόδειξη της ισχύος της επίθεσης, αν και αυτά τα σενάρια συχνά είναι ελεγχόμενα και όχι πραγματικές επιθέσεις στον δρόμο.
Σημαντικό στοιχείο είναι ότι το ζήτημα δεν φαίνεται να αφορά αποκλειστικά την Apple, αλλά περισσότερο τον τρόπο λειτουργίας του συστήματος καρτών Visa και των πρωτοκόλλων πληρωμών. Σύμφωνα με τις διαθέσιμες πληροφορίες, το συγκεκριμένο σενάριο δεν λειτουργεί με όλες τις κάρτες ή όλες τις πλατφόρμες (π.χ. Mastercard ή American Express χρησιμοποιούν διαφορετικά συστήματα ασφάλειας).
Επιπλέον, η Visa έχει δηλώσει ότι τέτοιου τύπου επιθέσεις είναι εξαιρετικά δύσκολο να συμβούν σε πραγματικές συνθήκες μεγάλης κλίμακας και ότι οι συναλλαγές προστατεύονται από πολιτικές μηδενικής ευθύνης (zero liability), που επιτρέπουν αμφισβήτηση ύποπτων χρεώσεων.
Παρότι το σενάριο ακούγεται ανησυχητικό, οι ειδικοί τονίζουν ότι πρόκειται για πολύπλοκη και περιορισμένης πρακτικότητας επίθεση, που απαιτεί φυσική πρόσβαση, τεχνικό εξοπλισμό και συγκεκριμένες ρυθμίσεις στη συσκευή.
