MKBHD’nin Kilitli iPhone’undan 10.000 Dolar Çaldılar

Surrey ve Birmingham Üniversitelerinden siber güvenlik araştırmacıları, popüler teknoloji yayıncısı Marques Brownlee’nin (MKBHD) kilitli iPhone’u üzerinden 10.000 dolar çalmayı başardı. Veritasium YouTube kanalında yayınlanan bir deneyle gözler önüne serilen bu yöntem, Apple’ın Hızlı Toplu Taşıma modundaki bir güvenlik açığını hedef alıyor.

Yakın Alan İletişimi (NFC) teknolojisi kullanılarak gerçekleştirilen saldırı, cihazın ekran kilidi açılmadan ödeme yapılabilmesine olanak tanıyor. Karmaşık donanımlar ve fiziksel erişim gerektiren bu süreç, özellikle belirli banka kartı sağlayıcılarını kullanan kullanıcılar için potansiyel bir risk teşkil ediyor.

Saldırı Karmaşık Bir Donanım Düzeneği ile Gerçekleşiyor

Söz konusu iPhone açığı, cihazın bir toplu taşıma terminalindeymiş gibi davranmasını sağlayan özel bir NFC kart okuyucu aracılığıyla tetikleniyor.

Araştırmacılar, ödeme terminali ile telefon arasındaki iletişimi kesen bir düzeneği bir dizüstü bilgisayara bağlıyor. Toplanan ödeme verileri daha sonra başka bir telefona aktarılıyor ve bu telefon, yasal bir kart okuyucuya dokundurularak işlem tamamlanıyor.

Saldırının başarılı olması için kurbanın telefonunda “Hızlı Toplu Taşıma” modunun aktif olması ve bu modun bir Visa kartı ile eşleştirilmiş olması gerekiyor. Bu süreçte saldırganların cihaza fiziksel olarak yakın olması şart koşuluyor.

Bu yöntem, geleneksel temassız ödeme limitlerini tamamen devre dışı bırakarak büyük miktarda paranın transfer edilmesine imkan tanıyor.

Güvenlik Açığı Yalnızca Belirli Kart Türlerini Etkiliyor

Yapılan incelemeler, bu sorunun doğrudan bir iPhone hatasından ziyade Visa’nın güvenlik protokollerindeki bir boşluktan kaynaklandığını gösteriyor.

Deneyler sırasında Mastercard veya American Express kartlarının farklı güvenlik yöntemleri kullandığı ve bu saldırıya karşı dirençli olduğu tespit edildi. Ayrıca Samsung Pay kullanan cihazlarda da benzer bir açığa rastlanmadı.

Apple, konuyla ilgili yaptığı açıklamada durumun Visa sistemindeki bir eksiklik olduğunu vurgularken; Visa ise bu tür bir dolandırıcılığın gerçek dünya koşullarında ölçeklendirilmesinin neredeyse imkansız olduğunu belirtti. Şirket, şüpheli işlemlerin kullanıcılar tarafından her zaman itiraz edilebilir olduğunu ekledi.

Visa, kart sahiplerinin “sıfır sorumluluk” politikası kapsamında bu tür olağandışı dolandırıcılık faaliyetlerine karşı koruma altında olduğunu hatırlatıyor.

Kullanıcıların Alabileceği Korunma Yöntemleri Bulunuyor

Siber güvenlik uzmanları, bu tür bir saldırıdan korunmak için kullanıcıların toplu taşıma ödemeleri için Visa kartlarını iPhone cüzdanlarında varsayılan olarak tanımlamamasını öneriyor.

Her ne kadar saldırı fiziksel erişim ve ileri düzey teknik donanım gerektirse de, dijital cüzdan ayarlarının gözden geçirilmesi ek bir güvenlik katmanı sağlıyor.

Sonuç olarak, araştırmacılar bu açığın 2021 yılından beri bilindiğini ancak hala kapatılmadığını ifade ediyor. Kullanıcıların dijital ödeme yöntemlerini kullanırken dikkatli olmaları ve hesap hareketlerini düzenli kontrol etmeleri büyük önem taşıyor.

Sizce dijital cüzdanlar fiziksel kartlara göre daha mı güvenli yoksa bu tür teknolojik açıklar sizi endişelendiriyor mu? Görüşlerinizi yorumlarda bizimle paylaşın.