Když se na sociálních sítích před pár měsíci šířila videa zachycující údajné „vycucání“ platebních karet uložených v iPhonech pouhým přiblížením jiného iPhonu, znalejší uživatelé si tehdy klepali na čelo. Zcela evidentně se totiž tehdy jednalo o trik, jehož cílem bylo jen šokovat a zvýšit sledovanost daného uživatele. V praxi totiž nedocházelo k žádné komunikaci mezi iPhony, ale jen k přehrání zvuku, který Apple Pay vydá po provedení platby. S trochou nadsázky (a odstupem času) se však dá říci, že se do jisté míry jednalo o předpověď relativně brzké budoucnosti. Vysát kartu z iPhonu totiž podle nejnovějšího zjištění skutečně jde, byť podstatně složitějším trikem.
Celou věc dostal do širšího povědomí YouTube kanál Veritasium, který exploit názorně předvedl na iPhonu známého technologického YouTubera Marquese Brownleeho, ž jehož zamčeného telefonu dokázali „vysát“ zhruba 10 tisíc dolarů. Princip tohoto útoku je nicméně dost složitý a je proto víceméně jasné, že ve větší míře aplikován určitě nebude. Ve zkratce jde totiž o poměrně chytrou hru s NFC komunikací, kdy útočník využije speciálně upravenou čtečku, která zachytí komunikaci mezi iPhonem a platebním terminálem. Data se následně přesměrují přes notebook do dalšího zařízení, které transakci dokončí na skutečném terminálu. Klíčem k úspěchu je pak to, že iPhone „uvěří“, že provádí běžnou platbu například v dopravním systému.
Naprosto zásadním faktem je pak to, že celý trik stojí na režimu Express Transit, který umožňuje provádět platby bez odemknutí telefonu. Právě tento režim je totiž navržený tak, aby fungoval co nejrychleji, což s sebou nese i určitá bezpečnostní omezení. Jedním dechem se nicméně sluší dodat, že tento expresní režim funguje prakticky jen v MHD a to navíc jen ve vybraných městech, mezi kterými žádné z České republiky či Slovenska není. Je proto zcela zbytečné mít jakoukoliv kartu jako expresní nastavenou, nevyužíváte-li daný systém.
Zajímavé je navíc i to, že problém ve skutečnosti neleží přímo na straně Applu, ale jde spíš o slabinu v systému karet Visa. Exploit totiž funguje pouze v kombinaci iPhonu a karty Visa. S Mastercardem nebo American Expressem si výzkumníci neškrtli, stejně tak neuspěli ani na zařízeních s Androidem a Samsung Pay.
Mohlo by vás zajímat
Apple se k celé věci vyjádřil poměrně přímočaře a uvedl, že jde o problém na straně Visa, nikoliv iPhonu. Visa zase uklidňuje, že podobný útok je v reálném světě extrémně nepravděpodobný a případné transakce lze navíc reklamovat díky politice nulové odpovědnosti. Realita je tedy o něco méně dramatická, než by se mohlo zdát. Útok vyžaduje de facto fyzický přístup k telefonu, speciální hardware a poměrně komplexní nastavení celé akce. Jinými slovy, nejde o něco, co by vás mělo děsit při každodenním používání. Pokud byste ale chtěli hrát na jistotu, jednoduché řešení existuje. Stačí nepoužívat Visa kartu pro Express Transit platby na iPhonu.
