وجد الخبراء في جامعتي بيرمنغهام وسورري الإنجليزيتين أنه يمكن للثغرات الأمنية الموجودة في Apple Pay و Visa أن تمكّن المتسللين من تجاوز شاشة قفل Apple Pay الخاصة بأجهزة آيفون وإجراء مدفوعات بدون تلامس، كما تسمح بتجاوز حدّ عدم التلامس مما يتيح إجراء معاملاتٍ بأي مبلغ مهما كان ضخماً. وسيتم تقديم نتائجهم في ورقةٍ بحثية في ندوة IEEE 2022 حول الأمن والخصوصية، التي يقيمها معهد مهندسي الكهرباء والإلكترونيات في ولاية نيوجرسي الأمريكية.

واكتشف الباحثون أن هذه الثغرة الأمنية تحدث عندما يتم إعداد بطاقات Visa في “وضع النقل السريع” في محفظة آيفون الرقمية. وتُتيح تلك ميّزة في العديد من الهواتف الذكية للمستخدمين إجراء دفع سريع عبر الهاتف المحمول بدون تلامس، على سبيل المثال، عند الدفع على بوابة محطة مترو أنفاق، بدون استخدام مصادقة بصمات الأصابع.

كما أشار الباحثون إلى أن هذا الضعف يكمن في عمل أنظمة Apple Pay و Visa معًا فقط ولا يؤثر على المجموعات وآليات الدفع الأخرى، مثل Mastercard في أجهزة iPhone أو Visa على Samsung Pay.

فباستخدام معدات راديو بسيطة، حدد الفريق رمزًا فريدًا يتم بثه عبر بوابات العبور أو البوابات الدوارة. سيفتح هذا الرمز، الذي أطلق عليه الباحثون اسم “البايتات السحرية”، Apple Pay. ووجد الفريق أنهم تمكنوا بعد ذلك من استخدام هذا الرمز للتدخل في الإشارات التي تنتقل بين جهاز آيفون وقارئ بطاقات المتجر، ومن خلال بث رمز “البايتات السحرية” وتغيير النطاقات الأخرى في البروتوكول، تمكّنوا من خداع جهاز آيفون ليعتقد أنه يتحدث إلى بوابة عبور، بينما في الواقع، كان يتحدث إلى قارئ متجر.

وفي الوقت نفسه، أقنعت طريقة الباحثين قارئ المتجر بأن جهاز آيفون قد أكمل بنجاح إذن المستخدم الخاص به، لذلك يمكن للقارئ الحصول على مدفوعاتٍ بأية مبلغ دون علم مستخدم جهاز آيفون بذلك.

قادت البحث الدكتور أندريا رادو من كلية علوم الكمبيوتر بجامعة برمنغهام. وقالت: “يُظهر عملنا مثالًا واضحًا لميّزةٍ تهدف بالأصل إلى جعل الحياة أسهل بشكلٍ تدريجي، ولكنها تأتي بنتائج عكسية وتؤثر سلبًا على الأمن، مع احتمال حدوث عواقب مالية خطيرة على المستخدمين.”

وأسلفت: “كشفت مناقشاتنا مع Apple و Visa أنه عندما يتحمل كل طرف من الأطراف اللوم بشكلٍ جزئي، فلن يكون أي منهما على استعداد لقبول المسؤولية وتنفيذ إصلاح، مما يترك المستخدمين عرضةً للخطر إلى أجل غير مسمى.”

يوضح البحث كيف يمكن لميّزة من شأنها أن تسهّل تجربة المستخدم في الدفع دون تلامس عن طريق الهاتف المحمول يمكن أن تخفض مستوى الأمان. ولكنه يكشف أيضًا عن وجود آليات أخرى للدفع عبر الهاتف المحمول بدون تلامس، مثل Samsung Pay، آمنة وسهلة الاستخدام. إذ لا ينبغي لمستخدمي Apple Pay مقايضة الأمان بسهولة الاستخدام، ولكن -في الوقت الحالي- البعض منهم يفعل ذلك.

وفي الختام، يجب على مالكي آيفون التحقق مما إذا كان لديهم بطاقة Visa تم إعدادها من أجل مدفوعات العبور، وإذا كانت لديهم، فيجب عليهم تعطيلها مؤقتاً ريثما تُحلّ المشكلة. فليست هناك حاجة لأن يكون مستخدمو Apple Pay في خطر، ولكن حتى تصلح شركتا Apple أو Visa الثغرة، فهم كذلك.