Az Apple Payről nagyjából annyit hallunk, hogy a legbiztonságosabb és egyben legegyszerűbb fizetési mód. A biztonságnál azonban először mindenki a bejárati ajtóról beszél: milyen a zárszerkezet, hány ponton záródik az ajtó, milyen vastag az acéllemez. Ujjlenyomat, token, azonosító kulcs.
Később kerülnek csak szóba az ablakok, neadjisten a hátsó bejárat, ami tárva-nyitva.
Az Apple Paynél persze nincs szó nyitva felejtett bejáratról. Mégis, mostanában egyre több biztonsági szakértő szólal fel az Apple fizetési rendszere ellen, mert szerintük nem tartalmaz elég biztonsági réteget. Visszaélnek ugyanis adattolvajok az Apple Pay-jel, így:
A hackerek első körben megszerzik a bankkártya biztonsági kódját, illetve egy iTunes account belépési adatait (fontos tehát, hogy az egész adatlopással indul, ami eleve egy már feltört biztonsági rendszert, vagy személyiséglopást jelent). Ez eleve nehéz dolognak tűnik, de nem az: a CVV-t (kártya azonosító szám) állítólag egy dollárért, az iTunes belépési adatokat pedig 8 dollárért árulnak online Brian Krebs biztonsági szakértő szerint.
A tolvajok ezután beállítanak egy új iPhone-t a meglévő adatokkal. Regisztrálják a kártyát, belépnek az Apple ID-vel, és megadják az ujjlenyomatukat. Igen, a sajátjukat, innentől az tökéletesen elég. A bank sem nagyon cicózik a gyakorlat szerint azon, hogy beazonosítsa az új szereplőt, gyorsan átfut a processz, hogy a felhasználónak minél kényelmesebb legyen. Ezután pedig már mehet is a vásárlás az üzletben, gyorsan, kényelmesen.
Adatlopással ugye eddig is simán kilophatták a szemünket, csak míg korábban kizárólag online vásárlásokra voltak használhatóak a bankkártyaadatok, addig most az iTunes-hozzáféréssel a való életben is lehet vinni a cuccokat, azonnal.
Az Apple elvileg tett ennek megelőzéséért: amikor a felhasználó egy új kártyát érvényesít a rendszerben, az Apple becsomagol és titkosít egy csomó információt, amit aztán elküld a banknak. Ebben az iTunes forgalmat, a használt készülék információit, a készülék nevét és a pontos helyzetét is megosztja a bankkal. Innentől viszont ott a labda, hogy elfogadják vagy elutasítják a regisztrációt. A pénzintézet kérhet tovább infókat is a regisztráló személytől, de általában simán megy minden. Talán túl simán.
A megoldás lehet, hogy a bankok szigorúbbak a regisztrációnál. A másik - amibe az Apple nem megy bele -, hogy a vásárlásnál igazolják a személyazonosságukat a vásárlók.
A 90-es évekre visszanyúló biztonsági rést találtak kriptográfiával foglalkozó szakemberek. a FREAK nevű expoitot használva az OS X és iOS Safari böngészőjét, valamint az Android beépített browserét használva a támadók weboldalakat törhetnek fel és kényes személyes adatokat szerezhetnek meg.
A biztonsági hiba egy 90-es években eltörölt szabályozás következménye, amivel az USA gyengébb, ezáltal könnyebben feltörhető titkosítást exportált csak a határain kívülre. Csakhogy hiába szüntették meg a szabályozást, a baromság beépült a rendszerbe, és mostanáig senki nem foglalkozott vele nagyon.
Olyan oldalak érintettek, mint az American Express, Airtel, Bloomberg, Business Insider saját site-ja, de az összeesküvés-elméleteket gyártók bánatára az FBI, a Fehér Ház és az NSA honlapja is ki van téve a támadásoknak. Itt a teljes lista, a magyar oldalakra egy egyszerű “.hu” kereséssel lehet rátalálni.
Az Apple már bejelentette, hogy dolgoznak a patch-en, jövő héten kint lesz egy frissítés formájában. A Google is javítást ígér, de az Android esetében nem lesz ilyen egyszerű az eljárás: a gyártók döntik el, mikor mehet az update.
A Shellshock biztonsági rés nagy port kavart az elmúlt egy hétben. Először csak azért, mert sejteni lehetett, hogy a hibát biztosan nem tudják majd minden bash shellt használó eszközön befoltozni, így a számítógépek alkotta világegyetem egy része könnyen átállítható lesz a sötét oldalra. A pánikhangulat gyorsan átterjedt a mezei felhasználókra is, talán sokan el is kezdték kimenteni a meztelen képeiket oda, ahol a hackerek nem érik el.
A legtöbb Linux disztribútor gyorsan kiadta a javítást, az Apple azonban máig megelégedett egy nyilatkozattal, amiben elmondta, hogy az átlag OS X felhasználó nincs veszélyben a távoli támadásokkal szemben, amíg valamilyen fejlett UNIX szolgáltatást nem futtat (a külső támadáshoz valamilyen remote desktop alkalmazás is kell, nem elég a bash shell sebezhetősége). Persze megígérték, hogy azoknak, akik mégis ilyenekben utaznak, elkészítik a patch-et.
Interjúban beszélt Tim Cook arról, hogyan történt a hírességek képeinek megszerzése, és mit tervez az Apple, hogy biztonságosabbá tegye a rendszerét.
Először is kiemelte, hogy egyetlen Apple ID-hoz tartozó jelszót sem szereztek meg tőlük, a támadás egyrészt adathalász módszereket alkalmazott, hogy megszerezze a felhasználó belépési adatait és jelszavát, másrészt a biztonsági kérdésekre adott helyes válaszokkal tudtak bejutni a falon.
Álljunk is itt meg egy pillanatra. A biztonsági kérdéseknél.
Ez úgy működik, hogy ha “elfelejtetted” a jelszavad, az iCloud.com oldalon választhatod alul, hogy segítsenek. Ekkor átkerülsz az iforgot.apple.com oldalra.
Itt meg kell adni az Apple ID-det. Egy ilyen támadás esetén ezt érdemes már tudni tehát. Egy Apple Store dolgozó állítólag könnyen hozzáfér.
Az Apple hivatalosan is megszólalt az ügyben. Úgy tűnik, korábban rosszul sejtettük, és mégsem a Find my iPhone brute force támadásával jutottak be a hírességek fiókjába. Ezt állítják Cupertinóban - ami nem jelenti, hogy a biztonsági rés nem létezett, valóban végtelen számban lehetett próbálkozni belépéssel.
A közlemény szerint 40 óráig vizsgálták a történteket. Látható volt, hogy bizonyos felhasználónevek és biztonsági kérdések ellen indított, rendkívül targetált támadás volt, tehát épp a brute force ellentéte történt. Tudták, hogy mit keresnek, és hogy kábé mivel próbálkozzanak.
Az Apple továbbra is együtt dolgozik a hatóságokkal, hogy valamennyi hackert elfogják. A felhasználókat pedig arra kérik, hogy
A blogon található valamennyi írás, valamint a fényképek egy része a szerző saját tulajdonát képezik, amelyek másolása, terjesztése kizárólag előzetes engedéllyel lehetséges.
