در همآیش کلاه سیاهها در آمریکا، پژوهشگران حوزۀ امنیت اعلام کردند که دو حملۀ متمایز به “ApplePay” – با استفاده از نقاط ضعف روش پرداخت تلفن همراه – طراحی شده اند. امروزه 
“ApplePay” یکی از امن ترین سامانه های پرداخت محسوب می شود اما پژوهشگران ادعا می کنند که دو مسیر احتمالی حمله را یافتهاند.
نخستین حمله ای را که پژوهشگران معرفی کردند، نیازمند دستگاهی جیلبریک شده ست تا کار را به پایان برساند؛ به این معنی که: مهاجمان باید دستگاه جیلبریک شده را با بدافزارها آلوده کنند. هنگامی که تلفن همراه آلوده شد، مهاجمان می توانند مانع رسیدن اطلاعات پرداخت به سرور اپل شوند و هنگامی که رخنه گران با موفقیت دستگاهها را به بدافزارها آلوده کردند، امتیازات اساسی را به دست آوردهاند و به هدف خود رسیدهاند.
در حمله دوم، نیازی به دستگاه جیلبریک شده نیست، زیرا رخنه گران از ترافیک تراکنش “SSL” جلوگیری می کنند یا آن را دستکاری می کنند. مهاجمان در دادههای تراکنش، برای مثال: مبلغ پرداخت شده را تغییر میدهند یا در جزئیات تحویل کالاهای سفارش شده دست میبرند. مهاجمان میتوانند جزئیات کارتهای ربوده شده را در حساب آیفون خود ثبت کنند تا پرداخت ها از جانب قربانیان انجام شود و آنگاه، ایشان میتوانند ترافیک “SSL” میان دستگاه و سرور اپل را برای پرداختهای جعلی رهگیری کنند.
منابع:
🌏: http://securityaffairs.co
🇮🇷: کاشف
