അൺലോക്ക് ചെയ്യേണ്ട, പാസ്‌വേഡും വേണ്ട; ഐഫോണിൽ നിന്ന് പണം കവരാൻ പുതിയ വഴി!

ഉയർന്ന സുരക്ഷ അവകാശപ്പെടുന്ന ആപ്പിളിന്റെ ടാപ്പ്-ടു-പേ ഫീച്ചറിൽ ഗുരുതരമായ സുരക്ഷാ വീഴ്ച കണ്ടെത്തി. ഫോൺ അൺലോക്ക് ചെയ്യാതെ തന്നെ ബാങ്ക് അക്കൗണ്ടിൽ നിന്ന് പണം കവരാൻ സഹായിക്കുന്ന ഈ പഴുത് ഒരു യൂട്യൂബറാണ് പുറത്തുവിട്ടത്. "മാൻ ഇൻ ദി മിഡിൽ" എന്ന ഹാക്കിംഗ് രീതിയിലൂടെ ഐഫോണിലെ എൻഎഫ്‌സി സാങ്കേതികവിദ്യയെ തെറ്റിദ്ധരിപ്പിച്ചാണ് തട്ടിപ്പ് നടത്തുന്നത്. സൈബർ വിദഗ്ധരുടെ സഹായത്തോടെ തെളിയിക്കപ്പെട്ട ഈ പ്രശ്നം അഞ്ച് വർഷം മുമ്പ് തന്നെ റിപ്പോർട്ട് ചെയ്യപ്പെട്ടിരുന്നതായാണ് വിവരം.

ഐഫോൺ ലോക്ക് ആണെങ്കിലും പണം നഷ്ടപ്പെട്ടേക്കാം; സുരക്ഷാ വീഴ്ച തെളിയിച്ച് യൂട്യൂബർ

ലോക്ക് ചെയ്ത ഐഫോണുകളിൽ നിന്ന് പണം തട്ടിയെടുക്കാൻ കഴിയുന്ന സുരക്ഷാ പിഴവ് വെരിറ്റാസിയം (Veritasium) ചാനലിലൂടെ ഹെൻറി വാൻ ഡിക് പുറത്തുകൊണ്ടുവന്നു. 2021-ൽ കണ്ടെത്തിയ ഈ പഴുത് ഉപയോഗിച്ച് പ്രശസ്ത ടെക് ഇൻഫ്ലുവൻസർ മാർക്കസ് ബ്രൗൺലീയുടെ (MKBHD) ഫോണിൽ നിന്ന് അദ്ദേഹം പണം പിൻവലിച്ചു. ലാപ്ടോപ്പുമായി ബന്ധിപ്പിച്ച 'പ്രോക്സ്മാർക്ക്' എന്ന എൻഎഫ്‌സി റീഡർ ഉപയോഗിച്ചാണ് ഫോൺ അൺലോക്ക് ചെയ്യാതെ തന്നെ ഈ തട്ടിപ്പ് നടത്തിയത്.

ഐഫോൺ പ്രോക്‌സ്മാർക്ക് എന്ന റീഡറിൽ വെക്കുമ്പോൾ ലഭിക്കുന്ന വിവരങ്ങൾ ലാപ്‌ടോപ്പിലെ ഒരു പൈത്തൺ സ്‌ക്രിപ്റ്റ് ഉപയോഗിച്ച് മാറ്റം വരുത്തുന്നു. ഈ വിവരങ്ങൾ പിന്നീട് മറ്റൊരു ഫോണിലേക്ക് അയച്ച് ഒരു പേയ്‌മെന്റ് മെഷീനിൽ ടാപ്പ് ചെയ്യുന്നതോടെ, ഐഫോണും മെഷീനും തമ്മിൽ നേരിട്ടാണ് ബന്ധമെന്ന് തെറ്റിദ്ധരിപ്പിച്ച് പണം കവരുകയാണ് ചെയ്യുന്നത്.

ഇത്തരത്തിൽ മാർക്കസ് ബ്രൗൺലീയുടെ ഐഫോൺ 17 പ്രോ അൺലോക്ക് ചെയ്യാതെ തന്നെ 10,000 ഡോളർ (ഏകദേശം 9.33 ലക്ഷം രൂപ) തട്ടിയെടുക്കാൻ സാധിച്ചു. ഫോൺ അൺലോക്ക് ചെയ്യാതെ ബസുകളിലും മെട്രോകളിലും പേയ്‌മെന്റ് നടത്താൻ സഹായിക്കുന്ന 'എക്സ്പ്രസ് ട്രാൻസിറ്റ് മോഡിലെ' പിഴവാണ് ഇതിന് കാരണമെന്ന് വിദഗ്ധരായ ഇയോണ ബൊറേനുവും ടോം ചോത്തിയയും ചൂണ്ടിക്കാട്ടുന്നു.

ഈ സുരക്ഷാ പിഴവ് ഉപയോഗിച്ച് ഉപയോക്താവിന്റെ അക്കൗണ്ടിലുള്ള മുഴുവൻ പണവും തട്ടിയെടുക്കാൻ സാധിക്കുമെന്ന് വിദഗ്ധർ മുന്നറിയിപ്പ് നൽകുന്നു. ബാങ്ക് ബാലൻസ് എത്രയാണോ അത്രയും തുക മോഷ്ടാക്കൾക്ക് കവരാനാകും എന്നതാണ് ഇതിന്റെ അപകടാവസ്ഥ.

ഐഫോൺ ഒരു ട്രാൻസിറ്റ് ടെർമിനലുമായി ബന്ധിപ്പിക്കുമ്പോൾ, ഇടപാട് ഉറപ്പാക്കാൻ ആപ്പിളിന്റെ ടാപ്പ്-ടു-പേ സംവിധാനവുമായി ഒരു കോഡ് കൈമാറുന്നുണ്ട്. വിസ (Visa) കാർഡുകൾ ഉപയോഗിക്കുന്ന വെരിഫിക്കേഷൻ രീതിയിലെ പ്രത്യേകതകൾ കാരണം ഇത്തരം കാർഡുകളിലാണ് ഈ തട്ടിപ്പ് നടക്കാൻ സാധ്യതയേറെയെന്ന് ഗവേഷകർ ചൂണ്ടിക്കാട്ടുന്നു.

പ്രോക്‌സ്മാർക്ക് പോലുള്ള ഉപകരണങ്ങൾ ഉപയോഗിച്ച് ഈ കോഡ് ചോർത്തി മറ്റൊരു ഡിവൈസിലേക്ക് കൈമാറാൻ ഹാക്കർമാർക്ക് കഴിയും. സാധാരണയായി ഓൺലൈൻ ഇടപാടുകൾ നടക്കുമ്പോൾ ഐഫോൺ പ്രതീക്ഷിക്കുന്ന ബൈനറി സന്ദേശത്തിന്റെ അവസാനം "1" എന്ന് രേഖപ്പെടുത്തേണ്ടതുണ്ട്. ഈ കോഡിൽ കൃത്രിമം കാണിച്ചാണ് തട്ടിപ്പുകാർ ഫോണിനെ കബളിപ്പിക്കുന്നത്.

സാധാരണ ഒരു പേയ്‌മെന്റ് മെഷീൻ നൽകുന്ന വാല്യൂ "0" ആയിരിക്കും. ഈ സന്ദേശം ഹാക്കർമാർ തടസ്സപ്പെടുത്തുകയും അതിലെ വാല്യൂ മാറ്റുകയും ചെയ്യുന്നതോടെ, ഒരു അംഗീകൃത ട്രാൻസിറ്റ് ടെർമിനലുമായാണ് ബന്ധപ്പെട്ടിരിക്കുന്നതെന്ന് ഐഫോൺ തെറ്റിദ്ധരിക്കപ്പെടുന്നു.

ഇടപാട് തുക വളരെ കുറവാണെന്ന് ഐഫോണിനെ ബോധ്യപ്പെടുത്തുന്ന രീതിയിൽ ഈ ബൈനറി കോഡിൽ മാറ്റം വരുത്താനും ഹാക്കർമാർക്ക് കഴിയും. ഇതിലൂടെ ഫെയ്‌സ് ഐഡിയോ ഫിംഗർപ്രിന്റോ ഉപയോഗിച്ചുള്ള സുരക്ഷാ പരിശോധനകൾ ഒഴിവാക്കാനാകും. ഇതിനുപുറമെ, പൈത്തൺ സ്‌ക്രിപ്റ്റ് ഉപയോഗിച്ച് കോഡ് പരിഷ്കരിച്ച് ഉപഭോക്താവ് ബയോമെട്രിക് അംഗീകാരം നൽകിക്കഴിഞ്ഞുവെന്ന് പേയ്‌മെന്റ് മെഷീനെയും ഇവർ കബളിപ്പിക്കുന്നു.

അതുപോലെ, ഇടപാട് തുക പരിധിയിൽ താഴെയാണെന്ന് ഐഫോണിനെ തെറ്റിദ്ധരിപ്പിക്കാൻ ഈ ബൈനറി കോഡിൽ മാറ്റം വരുത്താൻ കഴിയും. ഇതിലൂടെ ഫെയ്‌സ് ഐഡി, ഫിംഗർപ്രിന്റ് തുടങ്ങിയ ബയോമെട്രിക് പരിശോധനകൾ ഹാക്കർമാർക്ക് മറികടക്കാനാകും. ഇതിനുപുറമെ, പൈത്തൺ സ്‌ക്രിപ്റ്റ് ഉപയോഗിച്ച് കോഡിൽ വീണ്ടും കൃത്രിമം കാണിച്ച്, ഉപഭോക്താവ് പണമടയ്ക്കാൻ അനുമതി നൽകിയെന്ന് പേയ്‌മെന്റ് മെഷീനെ ബോധ്യപ്പെടുത്തുകയും ചെയ്യുന്നു.

പേയ്‌മെന്റ് മെഷീനുകളും ഐഫോണും തമ്മിൽ കൈമാറുന്ന ട്രാൻസിറ്റ് 'മാജിക് ബൈറ്റുകളും' (magic bytes), ഇഎംവി ഫ്ലാഗുകളും (EMV flags) ആപ്പിൾ മനഃപൂർവ്വം എൻക്രിപ്റ്റ് ചെയ്യാതെ വിട്ടിരിക്കുകയാണെന്ന് യൂട്യൂബർ പറയുന്നു. വിവിധ സ്ഥലങ്ങളിലും പലതരത്തിലുള്ള റീഡറുകളിലും ടാപ്പ്-ടു-പേ ഫീച്ചർ ഉപയോഗിക്കേണ്ടി വരുന്നത് കൊണ്ടാണ് ഇങ്ങനെ സംഭവിച്ചതെന്നും ഇത് സുരക്ഷിതമാക്കുക എന്നത് വലിയൊരു വെല്ലുവിളിയാണെന്നും അദ്ദേഹം കൂട്ടിച്ചേർത്തു.

വിഷയത്തിൽ ആപ്പിളിന്റെ പ്രതികരണം തേടിയപ്പോൾ, ഇത് വിസ (Visa) സംവിധാനത്തിലെ പിഴവാണെന്നായിരുന്നു കമ്പനിയുടെ മറുപടി. എന്നാൽ, യഥാർത്ഥ സാഹചര്യങ്ങളിൽ ഇത്തരമൊരു തട്ടിപ്പ് നടക്കാൻ സാധ്യതയില്ലെന്നാണ് വിസ അവകാശപ്പെടുന്നത്. എങ്കിലും, ഉപഭോക്താക്കൾക്ക് പണം നഷ്ടമായാൽ വിസയുടെ 'സീറോ ലയബിലിറ്റി' (Zero liability) പോളിസി വഴി പരിരക്ഷ ലഭിക്കുമെന്നും അവർ വ്യക്തമാക്കി.