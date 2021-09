Tuhannen punnan maksu onnistui lukitulla iPhonella yliopiston testissä. Apple ja Visa saavat osakseen ankaraa arvostelua, mutta vakuuttavat käyttäjien olevan turvassa.

Apple Pay -mobiilimaksujen ja Visa-maksukorttien yhdistelmä on synnyttänyt haavoittuvuuden, jolla on mahdollista tehdä suuria luvattomia maksuja. Asiasta varoittavat Birminghamin ja Surreyn yliopistojen tutkijat Britanniassa. Asiasta uutisoi BBC.

Haavoittuvuus ilmenee ainoastaan Applen ja Visan yhteiskäytössä, kun kortti on asetettu pikamatkatilaan. Sen on tarkoitus nopeuttaa lippujen ostoa julkisessa liikenteessä esimerkiksi juna-aseman portilla. Tutkijat näyttävät videolla, kuinka lukittu iPhone saatiin tekemään tuhannen punnan maksu huijaamalla se luulemaan, että kyse on lipunmaksulaitteesta.

Eniten vaaraa menetelmästä lienee varastetuille iPhoneille. Hyökkääjän on oltava uhrinsa lähellä. Hyökkääjä tarvitsee myös pienen radiolaitteiston ja toisen puhelimen, jossa ajetaan tutkijoiden kehittämää sovellusta. Se välittää signaalit iPhonesta maksupäätteeseen.

Koska iPhone luulee asioivansa lipputerminaalin kanssa, sen lukitusta ei tarvitse avata. Samaan aikaan iPhonen viestejä maksupäätteelle muutetaan niin, että pääte luulee iPhonen olevan avattu ja maksun olevan hyväksytty.

Apple ja Visa eivät koe haavoittuvuuden vaarantavan käyttäjiä. Apple korostaa, että pahimmassakin tapauksessa Visa korvaa uhreille luvattomat maksut. Visa puolestaan katsoo, ettei tutkijoiden esittämä hyökkäystapa ole käytännöllinen laboratorion ulkopuolella. Ei ole todisteita, että menetelmää olisi käytetty todellisissa hyökkäyksissä.

” Keskustelumme Applen ja Visan kanssa paljastivat, että kun kaksi alan osapuolta ovat kumpikin osittain vastuussa, kumpikaan ei ole halukas hyväksymään vastuuta.

Tutkijoiden mukaan taustajärjestelmät petosten tunnistamiseksi eivät kuitenkaan estäneet heidän koemaksujaan. He kyllästyivät Applen ja Visan toimettomuuteen varoitettuaan kumpaakin haavoittuvuudesta jo kuukausia sitten. Tutkijat uskovat, että sekä Applen että Visan olisi mahdollista korjata aukko täysin omillaan.

– Keskustelumme Applen ja Visan kanssa paljastivat, että kun kaksi alan osapuolta ovat kumpikin osittain vastuussa, kumpikaan ei ole halukas hyväksymään vastuuta ja tekemään korjausta jättäen käyttäjät haavoittuviksi, tutkimusta johtanut tohtori Andreea Radu toteaa.

Tutkijat suosittelevat pikamatkatilan sulkemista iPhoneissa, jos käytössä on Visa-kortti. Muiden korttien tai maksutapojen yhdistelmistä ei löytynyt vastaavaa ongelmaa.

Applen mobiilimaksujärjestelmä Apple Pay aloitti Suomessa vuonna 2017. Applen tukisivujen mukaan Suomessa Apple Payta voi käyttää julkisen liikenteen lippuihin Turun seudun joukkoliikenteen eli Fölin alueella.

Sivut eivät liene täysin ajan tasalla, sillä Apple Payta voi käyttää myös paikoin ainakin Tampereen seudun joukkoliikenteessä.