Surrey Üniversitesi ve Birmingham Üniversitesi’nden siber güvenlik araştırmacıları, ünlü teknoloji içerik üreticisi Marques Brownlee (MKBHD)’nin kilitli iPhone’u üzerinden tam 10.000 dolar çalmayı başardı. Veritasium YouTube kanalında sergilenen bu çarpıcı deney, Apple’ın Hızlı Toplu Taşıma modunda bulunan kritik bir güvenlik açığını gözler önüne seriyor.Saldırının temelinde, cihazın ekranı kapalı ve kilitliyken bile ödeme yapılmasına izin veren Yakın Alan İletişimi (NFC) teknolojisi yatıyor. Araştırmacılar, özel olarak geliştirilmiş bir NFC kart okuyucu ile iPhone’u bir toplu taşıma terminali ile etkileşimdeymiş gibi kandırarak süreci başlattı.
Bu karmaşık saldırı düzeneği, ödeme terminali ile telefon arasındaki iletişimi kesmek için bir dizüstü bilgisayara bağlı bir araç kullanıyor. Toplanan ödeme verileri daha sonra başka bir telefona aktarılıyor ve bu ikinci cihaz, yasal bir kart okuyucuya dokundurularak büyük miktardaki işlem onaylanıyor.
Saldırının başarıya ulaşması için iki kritik koşul gerekiyor: Kurbanın iPhone’unda Hızlı Toplu Taşıma modunun aktif olması ve bu modun bir Visa kartı ile eşleştirilmiş olması. Ayrıca saldırganların işlem için cihaza fiziksel olarak çok yakın konumda bulunması şart.
Bu yöntem, temassız ödemelerdeki geleneksel güvenlik limitlerini tamamen aşarak, tek seferde çok yüksek miktarlarda paranın transfer edilmesine olanak tanıyor. Ancak detaylı incelemeler, sorunun kaynağının doğrudan iPhone işletim sistemi değil, Visa’nın güvenlik protokollerindeki bir boşluk olduğunu ortaya koyuyor.
Yapılan testlerde, Mastercard ve American Express kartlarının farklı doğrulama yöntemleri kullandığı ve bu spesifik saldırıya karşı dirençli olduğu görüldü. Benzer şekilde, Samsung Pay kullanan cihazlarda da aynı güvenlik açığına rastlanmadı.
Konuya ilişkin Apple yaptığı açıklamada, sorunun Visa sistemindeki bir eksiklikten kaynaklandığını vurguladı. Visa ise bu tür bir dolandırıcılığın gerçek dünya koşullarında geniş ölçekte uygulanmasının neredeyse imkansız olduğunu belirterek, kullanıcıların “sıfır sorumluluk” politikası ile korunduğunu ve şüpheli işlemleri itiraz edebileceklerini iletti.
Siber güvenlik uzmanları, kullanıcıların korunması için basit ama etkili bir önlem öneriyor: Hızlı Toplu Taşıma ödemeleri için Visa kartını varsayılan ödeme yöntemi olarak tanımlamamak. Saldırı ileri teknik donanım ve fiziksel yakınlık gerektirse de, bu ayar değişikliği ek bir güvenlik katmanı sağlıyor.
Araştırmacıların dikkat çektiği en çarpıcı nokta ise, bu açığın 2021 yılından beri bilinmesine rağmen hala tam olarak kapatılmamış olması. Bu durum, kullanıcıların dijital ödeme yöntemlerini kullanırken dikkatli olmalarını ve hesap hareketlerini düzenli kontrol etmelerinin ne kadar hayati olduğunu bir kez daha gösteriyor.
Sizce dijital cüzdanlar ve tematik ödeme sistemleri, fiziksel kartlara kıyasla yeterli güvenliği sağlıyor mu, yoksa bu tür karmaşık saldırı senaryoları sizi geleneksel yöntemlere yönlendiriyor mu?