Díra v zabezpečení iPhonu umožnila přes Venmo ukrást až 3000 dolarů

Rychlé, bezkontaktní a bezproblémové posílání peněz je dnes velice populární. Expresní bezhotovostní platby nabízí spousta různých aplikací, ať už je to Apple Pay, Square Cash nebo Venmo. U nás toto není příliš rozšířený způsob placení, ale v zámoří je to přesně naopak. A právě poslední zmiňovaná aplikace Venmo obsahovala dost zásadní bezpečnostní nedostatek, který umožnil krádež až 3000 dolarů za den. Ze zabezpečeného a uzamknutého iPhonu. Útočník potřeboval jen onen mobil a zhruba dvě minuty o samotě, během kterých mohl velmi jednoduše okrást svou oběť. Momentálně je už vše vyřešeno a tento postup tak není dále možný.

Venmo je platební aplikace, která dnes spadá pod služby PayPalu. Platí se skrze ní expresní bezhotovostní platby až do maximální výše 3000 dolarů za den. Bezpečnostní inženýr společnosti SalesForce přišel na způsob, jak za pomocí aplikace Venmo poslat peníze cizímu člověku, aniž by o tom věděl. Stačí mít pouze jeho telefon chvilku u sebe a je (bylo) to hotové. Na názornou ukázku se můžete podívat níže ve videu.

Celý proces je možný z několika na sobě závislých důvodů. První je ten, že vám v současné verzi iOS dokáže Siri přečíst poslední zprávy bez toho, aniž by musel uživatel odemknout telefon. Následně pak Siri také umožňuje nadiktovat odpověď. Také bez nutnosti odemčení telefonu. Pokud si dáte tyto dva prvky dohromady, nabízí se ideální příležitost pro to, jak obejít bezpečnostní ochranu která využívá SMS autorizaci. Pro názornou ukázku se podívejte na video níže.

Martin Vigo, který na tento exploit přišel, ho následně nahlásil a se zveřejněním tohoto postupu počkal až do chvíle, kdy byla bezpečnostní chyba opravena. V současné době už to tedy není možné provést.

• Jailbreak iOS 9.3.3 krade uživatelům přístup ke kreditním kartám, PayPalu a sociálním sítím

https://youtu.be/2BmN7NCMES4

Zdroj: 9to5mac