Một lỗ hổng thanh toán liên quan đến iPhone và thẻ Visa gần đây lại thu hút sự chú ý: các nhà nghiên cứu đã sử dụng công nghệ NFC để "vuốt" 10.000 USD từ iPhone của YouTuber Marques Brownlee (MKBHD) trong khi vẫn khóa điện thoại.
Phương thức tấn công này đã được trình diễn trong video mới nhất của kênh phổ biến khoa học nổi tiếng Veritasium. Cốt lõi của nó là đánh lừa iPhone nghĩ rằng nó đang quẹt thẻ tại cổng giao thông công cộng, từ đó cho phép khấu trừ lớn mà không cần mở khóa.
Quy trình tấn công này ban đầu được thiết kế bởi các nhà nghiên cứu an ninh mạng từ Đại học Surrey và Đại học Birmingham ở Vương quốc Anh để xác minh xem có thể vượt qua các hạn chế bảo mật của ví di động hay không và có thể vượt qua giới hạn trên của số tiền giao dịch truyền thống khi iPhone bị khóa hay không. Nghiên cứu có liên quan đã được công bố vào đầu năm 2021 và lần này Veritasium đã sử dụng điện thoại di động của MKBHD làm ví dụ để tái tạo hoàn toàn quy trình tấn công và hoàn tất thành công khoản thanh toán 10.000 USD từ chiếc iPhone bị khóa của nó. Cuộc tấn công
dựa vào hệ thống "trung gian" phần cứng được xây dựng cẩn thận: Đầu tiên, kẻ tấn công sử dụng đầu đọc thẻ NFC để chặn dữ liệu liên lạc giữa iPhone và thiết bị đầu cuối Quick Pass của người bán. Đầu đọc được kết nối với máy tính xách tay, máy tính này thu thập và chuyển tiếp dữ liệu thanh toán đến một "điện thoại bị cháy" (điện thoại tạm thời) khác, sau đó "chạm" vào thiết bị đầu cuối thanh toán thực để hoàn tất giao dịch. Để đánh bại khả năng bảo vệ của iPhone, kẻ tấn công cũng sẽ phải điều chỉnh thiết bị NFC theo nhận dạng thiết bị đầu cuối giống hệt như một cổng chuyển tuyến công cộng thực sự, khiến nó trông giống như một thao tác vuốt chuyển tuyến thông thường.
Điều đáng chú ý là cuộc tấn công này không áp dụng cho tất cả người dùng. Nó yêu cầu một loạt điều kiện tiên quyết: nạn nhân phải bật "Chế độ chuyển tuyến nhanh" trên iPhone và đặt thẻ Visa làm thẻ thanh toán mặc định ở chế độ này. Các nhà nghiên cứu chỉ ra rằng đây là lỗi thiết kế bảo mật trong hệ thống Visa, chứ không phải lỗi hệ thống trong chính iPhone; phương pháp tương tự sẽ không hoạt động khi liên kết thẻ MasterCard hoặc American Express vì các mạng này sử dụng các cơ chế bảo mật khác nhau. Trong phe Android, Samsung Pay trên các thiết bị Samsung không bị ảnh hưởng bởi lỗ hổng này và toàn bộ cuộc tấn công yêu cầu sự kết hợp cụ thể của "iPhone + Visa + Rapid Transit Mode" mới có thể thực hiện được.
Apple nói với Veritasium rằng đây là sự cố bảo mật ở cấp hệ thống Visa, không phải rủi ro chung trên nền tảng iPhone và nhấn mạnh rằng khả năng kịch bản tấn công này xảy ra trong đời thực là cực kỳ thấp. Visa trả lời Veritasium rằng việc tái tạo kiểu tấn công này trong môi trường thực tế quy mô lớn là rất phi thực tế. Bất kỳ giao dịch đáng ngờ nào cũng có thể bị khiếu nại và khôi phục thông qua các kênh của nhà phát hành thẻ, đồng thời được nhắc lại rằng người dùng được bảo vệ bởi "chính sách không chịu trách nhiệm pháp lý" của Visa.
Nhà nghiên cứu đề xuất mô hình tấn công này đề xuất rằng người dùng lo lắng về rủi ro có thể chọn không đặt thẻ Visa làm phương thức thanh toán vuốt nhanh cho phương tiện giao thông công cộng trên iPhone của họ, cắt đứt chuỗi tấn công tiềm ẩn này khỏi nguồn. Đối với người dùng thông thường, ngay cả khi thuộc tổ hợp cấu hình có rủi ro cao, những kẻ tấn công vẫn cần tiếp xúc gần, phần cứng chuyên nghiệp và điều chỉnh tỉ mỉ, khách quan làm tăng đáng kể ngưỡng thực hiện.