ช่องโหว่ Apple Pay อาจถูกขโมยเงินได้โดยไม่ต้องยืนยันตัวตน

นักวิชาการจากมหาวิทยาลัยเบอร์มิงแฮมและมหาวิทยาลัยเซอร์รีย์ สหราชอาณาจักร พบช่องโหว่เกี่ยวกับการทำธุรกรรมการเงินด้วยบัตรเครดิต VISA บน Apple Pay ที่เอื้อให้มิจฉาชีพฉ้อโกงได้โดยไม่ต้องใช้ระบบสัมผัส

Apple pay แอปพลิเคชันกระเป๋าเงินดิจิตอลสำหรับการชำระสินค้าด้วย Apple Cash, บัตรเดบิต และบัตรเครดิต เพื่อการชำระเงินแบบไร้การสัมผัสเพิ่มความปลอดภัยในช่วงโรคระบาด COVID-19 นอกจากนั้นยังอำนวยความสะดวกในช่วงระยะเร่งรีบ เช่น การชำระค่าโดยสาร ร้านอาหาร ฯลฯ โดยไม่ต้องปลดล็อกอุปกรณ์

แต่การชำระเงินโดยไม่ต้องปลดล็อกอุปกรณ์นี้ อาจทำให้มิจฉาชีพใช้อุปกรณ์สแกนเพื่อดูดเงินจาก Apple pay ของผู้ใช้งานได้ โดยมีการทดสอบจากนักวิชาการนำสมาร์ทโฟน iPhone 7 และ iPhone 12 ที่ตั้งค่าการชำระด้วยบัตรเครดิต Visa ร่วมกับอุปกรณ์แปลงสัญญาณวิทยุ (proxmark) มาสแกนอ่านสมาร์ทโฟน Android ที่เปิดใช้งาน Near Field Communication (NFC) เพื่อรับการชำระเงิน ผลปรากฏว่า สามารถจ่ายเงินได้ทันที โดยไม่ต้องยืนยันตัวตน ซึ่งนักวิชาการได้แจ้งช่องโหว่นี้ไปยังผู้พัฒนา Apple pay เพื่อเร่งดำเนินการแก้ไข ถึงแม้ว่าขณะนี้จะยังไม่พบการโจมตี แต่อนาคตอาจกลายเป็นประโยชน์สำหรับมิจฉาชีพได้

สำหรับระบบ Apple pay ที่ออกมาเพื่ออำนวยความสะดวกในการชำระสินค้า นับว่าเป็นประโยชน์อย่างมาก สำหรับยุคที่เร่งรีบและต้องการลดการสัมผัสธนบัตรในช่วงโรคระบาด COVID-19 แต่หากมีการนำระบบยืนยันตัวตนมาใช้ก่อนชำระเงิน เช่น รหัสผ่าน แสกนใบหน้า สแกนลายนิ้วมือ เป็นต้น ก็จะช่วยเพิ่มความปลอดภัยมากขึ้น 

ที่มา: https://www.zdnet.com/article/researchers-discover-bypass-bug-in-iphone-visa-apple-pay-to-make-contactless-payments/