Tap to pay-lek: Duizenden euro’s af te schrijven van vergrendelde iPhone Tech
Auteur
Door redactie
Om 17:01

Tap to pay-lek: Duizenden euro’s af te schrijven van vergrendelde iPhone

Betalen zonder ontgrendelen blijkt gewoon te kunnen

Beveiligingsonderzoekers hebben opnieuw gewezen op een lek in de contactloze betaalfunctie van de iPhone. Bij een combinatie van een iPhone en een gekoppelde Visa-kaart kan geld worden afgeschreven terwijl het toestel vergrendeld is en het scherm uit staat. In een video van YouTube-kanaal Veritasium laten onderzoekers zien dat in een testopstelling binnen enkele seconden 10.000 dollar van een iPhone kon worden gehaald.

Hoe de aanval werkt

De aanval wordt omschreven als een man in the middle-aanval. Daarbij onderscheppen aanvallers een signaal dat normaal wordt gebruikt bij ov-poortjes en andere terminals voor openbaar vervoer. Zulke terminals zijn anders dan veel gewone betaalterminals, omdat een betaling voor een reis kan worden gestart zonder dat de gebruiker eerst het scherm hoeft te ontgrendelen.

Onderzoekers ontdekten dat dit proces is te misbruiken. Door draadloze signalen van ov-terminals op te nemen en aan te passen, kan een iPhone denken dat er een kleine ov-betaling wordt gedaan. Ondertussen wordt het betaalverzoek aangepast, zodat een veel hoger bedrag wordt verwerkt. Volgens de demonstratie van Veritasium werkte dat alleen bij iPhones waarop een Visa-kaart stond ingesteld.

YT/veritasium

Al langer bekend

Het lek werd ontdekt door Ioana Boureanu van de University of Surrey en Tom Chothia van de University of Birmingham. Zij namen data van ov-terminals op en pasten die aan. Volgens hun bevindingen zit de kwetsbaarheid in de wisselwerking tussen Apple Pay op de iPhone en Visa. Daardoor kan een bedrag worden afgeschreven zolang dat bedrag ook echt op de rekening beschikbaar is.

De opstelling is niet simpel. Voor de aanval is een speciaal type kaartlezer nodig dat is gekoppeld aan een laptop, plus een betaalterminal om de valse betaling te verwerken. Volgens de beschrijving zijn er waarschijnlijk twee mensen nodig om dit uit te voeren. De aanvaller moet bovendien dicht genoeg bij het toestel komen om het apparaat tegen de iPhone te houden.

Het lek is naar verluidt al sinds 2021 bekend. Het werkt niet op iedere telefoon of met iedere bankpas, maar specifiek bij een iPhone met een geregistreerde Visa-kaart voor ov-betalingen.

Op dit moment bekeken

Meer over
Apple Pay iPhone leak Ioana Boureanu Tom Chothia
Delen

Video van de dag

videokanaal

Reacties

Gerelateerd