Sigurnosni alarm: hakiranje iPhonea bez otključavanja? Demonstracija pokazala krađu 10.000 dolara putem NFC-a

· Sanja Ledinek

Sigurnosni alarm_ hakiranje iPhonea bez otključavanja

Nova sigurnosna analiza izazvala je veliku pažnju javnosti nakon što je popularni YouTube kanal Veritasium objavio video koji demonstrira potencijalnu ranjivost u NFC plaćanjima na iPhoneu. Važno je naglasiti da problem nije izravno u samom iPhoneu, već u specifičnoj kombinaciji sustava i načina plaćanja.

Kako funkcionira napad

Ranjivost su još 2021. otkrili istraživači sa University of Surrey i University of Birmingham. Napad se temelji na presretanju NFC komunikacije između iPhonea i platnog terminala.

U praksi, napadač koristi modificirani čitač kartica povezan s računalom kako bi prikupio podatke o plaćanju. Ti se podaci zatim prosljeđuju na drugi uređaj, tzv. “burner” telefon, koji se koristi za izvršenje transakcije na legitimnom terminalu. Ključni izazov je emulacija identifikatora pravog terminala, što zahtijeva naprednu tehničku opremu i znanje.

Ključni uvjeti za uspjeh napada

Napad nije trivijalan i zahtijeva nekoliko specifičnih preduvjeta. Žrtva mora imati uključen Express Transit Mode te povezanu Visa karticu kao sredstvo plaćanja. Ova funkcija inače služi za brzo plaćanje u javnom prijevozu bez otključavanja uređaja, ali upravo ta pogodnost otvara prostor za potencijalnu zlouporabu.

Važno je istaknuti da druge kartične kuće, poput Mastercard i American Express, nisu pogođene ovim problemom zahvaljujući drugačijim sigurnosnim mehanizmima. Slično vrijedi i za Samsung Pay, koji koristi drugačiju arhitekturu zaštite.

Reakcije industrije

Visa je poručila da je vjerojatnost ovakvog napada u stvarnim uvjetima iznimno mala te podsjetila na svoju politiku nulte odgovornosti za korisnike, što znači da se sumnjive transakcije mogu osporiti i poništiti. Apple je također reagirao, naglašavajući da se ne radi o propustu u iPhoneu, već o specifičnosti Visa sustava, te da je napad u praksi vrlo teško izvesti jer zahtijeva fizičku blizinu uređaja i specijaliziranu opremu.

Demonstracija koja je sve pokrenula

Kako bi dokazali da je napad tehnički izvediv, istraživači su u suradnji s poznatim tech YouTuberom Marques Brownlee demonstrirali krađu od 10.000 dolara sa zaključanog iPhonea. Iako je riječ o kontroliranom eksperimentu, rezultat pokazuje da ranjivost postoji – čak i ako je njezina praktična primjena ograničena.

Treba li se zabrinuti

Unatoč dramatičnom naslovu, prosječni korisnici ne trebaju paničariti. Napad zahtijeva vrlo specifične uvjete, fizički kontakt i naprednu opremu, što ga čini nepraktičnim za masovnu zlouporabu. Ipak, slučaj otvara važna pitanja o balansu između praktičnosti i sigurnosti u modernim digitalnim plaćanjima. Za dodatnu sigurnost, korisnici mogu razmotriti isključivanje Express Transit Mode opcije ako je ne koriste često, kao i redovito praćenje transakcija na svojim karticama.

Ovaj incident još jednom potvrđuje da čak i najnapredniji sustavi nisu imuni na potencijalne ranjivosti, ali i da industrija brzo reagira kako bi minimizirala rizike za korisnike.

DRUGE NOVOSTI