Ερευνητές απέδειξαν ότι μια ευπάθεια στο Apple Pay με κάρτες Visa επιτρέπει κλοπή χρημάτων από κλειδωμένο iPhone. Δες πώς λειτουργεί και πώς να προστατευτείς.
Ερευνητές από τα Πανεπιστήμια του Surrey και του Birmingham απέδειξαν ότι το Apple Pay με Visa κάρτα σε Express Transit Mode επιτρέπει κλοπή χρημάτων από κλειδωμένο iPhone μέσω NFC.
Η επίθεση πραγματοποιήθηκε live από το Veritasium, αφαιρώντας 10.000 δολάρια από iPhone χωρίς ξεκλείδωμα.
Η προστασία είναι απλή: αποσύνδεση της Visa κάρτας από τη λειτουργία Express Transit.
Ακαδημαϊκοί ερευνητές κυβερνοασφάλειας κατάφεραν να αφαιρέσουν 10.000 δολάρια από κλειδωμένο iPhone χρησιμοποιώντας μια γνωστή ευπάθεια που συνδυάζει το Apple Pay, κάρτες Visa και τη λειτουργία Express Transit. Η επίθεση δεν απαιτεί το ξεκλείδωμα της συσκευής — αρκεί η φυσική εγγύτητα και εξειδικευμένος εξοπλισμός NFC. Το exploit παρουσιάστηκε στο ευρύ κοινό μέσα από βίντεο του δημοφιλούς καναλιού Veritasium στο YouTube.
Το exploit αναπτύχθηκε από ερευνητές του Πανεπιστημίου του Surrey και του Πανεπιστημίου του Birmingham, και είχε πρωτοδημοσιευτεί ήδη από το 2021, αν και τώρα απέκτησε ευρύτερη δημοσιότητα. Η επίθεση εκμεταλλεύεται τη λειτουργία Express Transit Mode του iPhone — τη ρύθμιση που επιτρέπει γρήγορες πληρωμές για αστικές συγκοινωνίες χωρίς να απαιτείται ξεκλείδωμα.
Ο επιτιθέμενος χρησιμοποιεί μια συσκευή ανάγνωσης NFC που παρεμβάλλεται στην επικοινωνία μεταξύ iPhone και τερματικού πληρωμής. Η συσκευή αυτή είναι συνδεδεμένη σε laptop που συλλέγει τα δεδομένα της συναλλαγής και τα μεταβιβάζει σε ένα δεύτερο κινητό — το λεγόμενο «burner phone» — το οποίο χρησιμοποιείται στη συνέχεια για να ολοκληρώσει τη πληρωμή σε νόμιμο τερματικό. Η συσκευή NFC πρέπει να είναι ρυθμισμένη στον ίδιο αναγνωριστικό κωδικό με ένα νόμιμο τερματικό συγκοινωνίας, ώστε το iPhone να «νομίζει» ότι κάνει κανονική πληρωμή διέλευσης.
Το κανάλι Veritasium επέλεξε να κάνει live επίδειξη αφαιρώντας 10.000 δολάρια από το κλειδωμένο iPhone του γνωστού YouTuber Marques Brownlee (MKBHD), χωρίς εκείνος να χρειαστεί να κάνει κάτι ή να το γνωρίζει εκ των προτέρων. Το αποτέλεσμα ξεπέρασε τα συνήθη όρια ανά συναλλαγή, γεγονός που αναδεικνύει πόσο σοβαρή μπορεί να είναι η ευπάθεια.
Το exploit δεν λειτουργεί με Mastercard ή American Express, καθώς αυτές οι κάρτες χρησιμοποιούν διαφορετικές μεθόδους ασφαλείας. Επίσης, δεν επηρεάζει χρήστες Samsung Pay σε Android συσκευές. Απαιτεί συγκεκριμένα τον συνδυασμό iPhone με Visa — χωρίς αυτή τη συνθήκη, η επίθεση αποτυγχάνει.
Η Apple δήλωσε ότι το πρόβλημα αφορά το σύστημα της Visa και όχι το iPhone. Η Visa, από την πλευρά της, επέμεινε ότι η συγκεκριμένη μορφή απάτης είναι ιδιαίτερα απίθανο να εκδηλωθεί σε πραγματικές συνθήκες και ότι οι κάτοχοι καρτών καλύπτονται από την πολιτική μηδενικής ευθύνης (zero liability policy) της εταιρείας. Τυχόν μη εξουσιοδοτημένες συναλλαγές μπορούν να αμφισβητηθούν.
Οι ερευνητές που δημοσίευσαν το exploit έδωσαν και την πρακτική λύση: μην έχεις ενεργοποιημένη κάρτα Visa για πληρωμές Transit στο iPhone. Απενεργοποιώντας το Express Transit Mode ή αντικαθιστώντας την Visa με άλλη κάρτα για αυτή τη λειτουργία, η επίθεση δεν μπορεί να πραγματοποιηθεί.
Αν και η επίθεση απαιτεί φυσική επαφή και εξοπλισμό που δεν έχει ο τυχαίος κακόβουλος, αποδεικνύει για ακόμη μια φορά ότι οι ανέπαφες πληρωμές δεν είναι αδιαπέραστες. Για τον χρήστη που έχει Visa συνδεδεμένη στο Apple Wallet και μετακινείται με τα ΜΜΜ, αξίζει να ελέγξει τις ρυθμίσεις Express Transit. Μέχρι να υπάρξει επίσημη διόρθωση από Visa ή Apple, η πιο απλή προφύλαξη είναι να μην χρησιμοποιεί Visa κάρτα για πληρωμές διέλευσης.
Πρόκειται για ευπάθεια που επιτρέπει σε επιτιθέμενο με συσκευή NFC να εκτελέσει πληρωμή από κλειδωμένο iPhone χωρίς τη γνώση του ιδιοκτήτη, εκμεταλλευόμενος τη λειτουργία Express Transit με Visa κάρτα.
Ναι — η ευπάθεια επηρεάζει αποκλειστικά τον συνδυασμό iPhone με Visa κάρτα σε Express Transit Mode. Mastercard, Amex και Samsung Pay δεν επηρεάζονται.
Όχι — ακριβώς αυτό κάνει την επίθεση επικίνδυνη. Ο επιτιθέμενος χρειάζεται μόνο φυσική εγγύτητα στη συσκευή και εξειδικευμένο εξοπλισμό NFC.
Η Apple χαρακτήρισε το πρόβλημα ζήτημα του συστήματος Visa, ενώ η Visa δήλωσε ότι η επίθεση είναι απίθανη στην πράξη και ότι οι πελάτες της καλύπτονται από πολιτική μηδενικής ευθύνης.
Απενεργοποίησε τη Visa κάρτα από τη λειτουργία Express Transit στις ρυθμίσεις του Apple Wallet, ή χρησιμοποίησε διαφορετική κάρτα (π.χ. Mastercard) για πληρωμές συγκοινωνίας.
Με την εγγραφή σας αποδέχεστε την Πολιτική Απορρήτου.
Το Xiaomi 18 Pro εμφανίστηκε σε renders με triple 200MP κάμερα, rear display και αποκλειστικό AI button για smart home και EVs. Δείτε όλα τα specs.
Το Motorola Edge 70 Pro κυκλοφορεί στις 22 Απριλίου με Dimensity 8500 Extreme, οθόνη 6,8″ 144Hz, τριπλό 50MP και μπαταρία 6.500mAh/90W.
Η IDC ανακοίνωσε πτώση 4,1% στις παγκόσμιες αποστολές smartphones το Q1 2026. Πρώτη η Samsung, δεύτερη η Apple — και η κρίση μνήμης επηρεάζει ολόκληρη την αγορά.
Πολλοί κατασκευαστές flagships το 2026 θα δίνουν τον κορυφαίο SoC μόνο στα Pro Max μοντέλα. Μάθε ποιες μάρκες επηρεάζονται και τι σημαίνει αυτό για σένα.
A project by Κώστας Βλαχάκης
Σχόλια