അൺലോക്ക് ചെയ്യേണ്ട, പാസ്‌വേഡും വേണ്ട; ഐഫോണിൽ നിന്ന് പണം കവരാൻ പുതിയ വഴി!

2021-ൽ കണ്ടെത്തിയ ആപ്പിളിന്റെ 'ടാപ്പ്-ടു-പേ' സുരക്ഷാ വീഴ്ച ഇപ്പോഴും അപകടകരമായി തുടരുന്നുവെന്ന് രണ്ട് സൈബർ വിദഗ്ധരുടെ സഹായത്തോടെ ഒരു യൂട്യൂബർ തെളിയിച്ചു. ഐഫോൺ അൺലോക്ക് ചെയ്യാതെ തന്നെ ബാങ്ക് അക്കൗണ്ടിലെ പണം കവരാൻ ഈ പഴുത് എങ്ങനെ ഉപയോഗിക്കാമെന്നാണ് ഇവർ വിവരിക്കുന്നത്.

അൺലോക്ക് ചെയ്യേണ്ട, പാസ്‌വേഡും വേണ്ട; ഐഫോണിൽ നിന്ന് പണം കവരാൻ പുതിയ വഴി!

Photo Credit: Pexels/ cottonbro studio

ആപ്പിളിന്റെ 'എക്സ്പ്രസ് ട്രാൻസിറ്റ് മോഡ്' 2019-ലാണ് പുറത്തിറക്കിയത്.

ഹൈലൈറ്റ്സ്
  • വിസ (Visa) ട്രാൻസിറ്റ് കാർഡുകൾ ഉപയോഗിക്കുന്നവർക്ക് മാത്രമാണ് ഈ ഭീഷണി
  • ഫെയ്‌സ് ഐഡിയോ പാസ്‌കോഡോ ആവശ്യമില്ല
  • ഈ സുരക്ഷാ വീഴ്ചയെക്കുറിച്ചുള്ള വിവരങ്ങൾ ആദ്യമായി പുറത്തുവന്നത് 2021-ലാണ്
പരസ്യം

ഉയർന്ന സുരക്ഷ അവകാശപ്പെടുന്ന ആപ്പിളിന്റെ ടാപ്പ്-ടു-പേ ഫീച്ചറിൽ ഗുരുതരമായ സുരക്ഷാ വീഴ്ച കണ്ടെത്തി. ഫോൺ അൺലോക്ക് ചെയ്യാതെ തന്നെ ബാങ്ക് അക്കൗണ്ടിൽ നിന്ന് പണം കവരാൻ സഹായിക്കുന്ന ഈ പഴുത് ഒരു യൂട്യൂബറാണ് പുറത്തുവിട്ടത്. "മാൻ ഇൻ ദി മിഡിൽ" എന്ന ഹാക്കിംഗ് രീതിയിലൂടെ ഐഫോണിലെ എൻഎഫ്‌സി സാങ്കേതികവിദ്യയെ തെറ്റിദ്ധരിപ്പിച്ചാണ് തട്ടിപ്പ് നടത്തുന്നത്. സൈബർ വിദഗ്ധരുടെ സഹായത്തോടെ തെളിയിക്കപ്പെട്ട ഈ പ്രശ്നം അഞ്ച് വർഷം മുമ്പ് തന്നെ റിപ്പോർട്ട് ചെയ്യപ്പെട്ടിരുന്നതായാണ് വിവരം.

ഐഫോൺ ലോക്ക് ആണെങ്കിലും പണം നഷ്ടപ്പെട്ടേക്കാം; സുരക്ഷാ വീഴ്ച തെളിയിച്ച് യൂട്യൂബർ

ലോക്ക് ചെയ്ത ഐഫോണുകളിൽ നിന്ന് പണം തട്ടിയെടുക്കാൻ കഴിയുന്ന സുരക്ഷാ പിഴവ് വെരിറ്റാസിയം (Veritasium) ചാനലിലൂടെ ഹെൻറി വാൻ ഡിക് പുറത്തുകൊണ്ടുവന്നു. 2021-ൽ കണ്ടെത്തിയ ഈ പഴുത് ഉപയോഗിച്ച് പ്രശസ്ത ടെക് ഇൻഫ്ലുവൻസർ മാർക്കസ് ബ്രൗൺലീയുടെ (MKBHD) ഫോണിൽ നിന്ന് അദ്ദേഹം പണം പിൻവലിച്ചു. ലാപ്ടോപ്പുമായി ബന്ധിപ്പിച്ച 'പ്രോക്സ്മാർക്ക്' എന്ന എൻഎഫ്‌സി റീഡർ ഉപയോഗിച്ചാണ് ഫോൺ അൺലോക്ക് ചെയ്യാതെ തന്നെ ഈ തട്ടിപ്പ് നടത്തിയത്.

ഐഫോൺ പ്രോക്‌സ്മാർക്ക് എന്ന റീഡറിൽ വെക്കുമ്പോൾ ലഭിക്കുന്ന വിവരങ്ങൾ ലാപ്‌ടോപ്പിലെ ഒരു പൈത്തൺ സ്‌ക്രിപ്റ്റ് ഉപയോഗിച്ച് മാറ്റം വരുത്തുന്നു. ഈ വിവരങ്ങൾ പിന്നീട് മറ്റൊരു ഫോണിലേക്ക് അയച്ച് ഒരു പേയ്‌മെന്റ് മെഷീനിൽ ടാപ്പ് ചെയ്യുന്നതോടെ, ഐഫോണും മെഷീനും തമ്മിൽ നേരിട്ടാണ് ബന്ധമെന്ന് തെറ്റിദ്ധരിപ്പിച്ച് പണം കവരുകയാണ് ചെയ്യുന്നത്.

ഇത്തരത്തിൽ മാർക്കസ് ബ്രൗൺലീയുടെ ഐഫോൺ 17 പ്രോ അൺലോക്ക് ചെയ്യാതെ തന്നെ 10,000 ഡോളർ (ഏകദേശം 9.33 ലക്ഷം രൂപ) തട്ടിയെടുക്കാൻ സാധിച്ചു. ഫോൺ അൺലോക്ക് ചെയ്യാതെ ബസുകളിലും മെട്രോകളിലും പേയ്‌മെന്റ് നടത്താൻ സഹായിക്കുന്ന 'എക്സ്പ്രസ് ട്രാൻസിറ്റ് മോഡിലെ' പിഴവാണ് ഇതിന് കാരണമെന്ന് വിദഗ്ധരായ ഇയോണ ബൊറേനുവും ടോം ചോത്തിയയും ചൂണ്ടിക്കാട്ടുന്നു.

ഈ സുരക്ഷാ പിഴവ് ഉപയോഗിച്ച് ഉപയോക്താവിന്റെ അക്കൗണ്ടിലുള്ള മുഴുവൻ പണവും തട്ടിയെടുക്കാൻ സാധിക്കുമെന്ന് വിദഗ്ധർ മുന്നറിയിപ്പ് നൽകുന്നു. ബാങ്ക് ബാലൻസ് എത്രയാണോ അത്രയും തുക മോഷ്ടാക്കൾക്ക് കവരാനാകും എന്നതാണ് ഇതിന്റെ അപകടാവസ്ഥ.

ഐഫോൺ ഒരു ട്രാൻസിറ്റ് ടെർമിനലുമായി ബന്ധിപ്പിക്കുമ്പോൾ, ഇടപാട് ഉറപ്പാക്കാൻ ആപ്പിളിന്റെ ടാപ്പ്-ടു-പേ സംവിധാനവുമായി ഒരു കോഡ് കൈമാറുന്നുണ്ട്. വിസ (Visa) കാർഡുകൾ ഉപയോഗിക്കുന്ന വെരിഫിക്കേഷൻ രീതിയിലെ പ്രത്യേകതകൾ കാരണം ഇത്തരം കാർഡുകളിലാണ് ഈ തട്ടിപ്പ് നടക്കാൻ സാധ്യതയേറെയെന്ന് ഗവേഷകർ ചൂണ്ടിക്കാട്ടുന്നു.

പ്രോക്‌സ്മാർക്ക് പോലുള്ള ഉപകരണങ്ങൾ ഉപയോഗിച്ച് ഈ കോഡ് ചോർത്തി മറ്റൊരു ഡിവൈസിലേക്ക് കൈമാറാൻ ഹാക്കർമാർക്ക് കഴിയും. സാധാരണയായി ഓൺലൈൻ ഇടപാടുകൾ നടക്കുമ്പോൾ ഐഫോൺ പ്രതീക്ഷിക്കുന്ന ബൈനറി സന്ദേശത്തിന്റെ അവസാനം "1" എന്ന് രേഖപ്പെടുത്തേണ്ടതുണ്ട്. ഈ കോഡിൽ കൃത്രിമം കാണിച്ചാണ് തട്ടിപ്പുകാർ ഫോണിനെ കബളിപ്പിക്കുന്നത്.

സാധാരണ ഒരു പേയ്‌മെന്റ് മെഷീൻ നൽകുന്ന വാല്യൂ "0" ആയിരിക്കും. ഈ സന്ദേശം ഹാക്കർമാർ തടസ്സപ്പെടുത്തുകയും അതിലെ വാല്യൂ മാറ്റുകയും ചെയ്യുന്നതോടെ, ഒരു അംഗീകൃത ട്രാൻസിറ്റ് ടെർമിനലുമായാണ് ബന്ധപ്പെട്ടിരിക്കുന്നതെന്ന് ഐഫോൺ തെറ്റിദ്ധരിക്കപ്പെടുന്നു.

ഇടപാട് തുക വളരെ കുറവാണെന്ന് ഐഫോണിനെ ബോധ്യപ്പെടുത്തുന്ന രീതിയിൽ ഈ ബൈനറി കോഡിൽ മാറ്റം വരുത്താനും ഹാക്കർമാർക്ക് കഴിയും. ഇതിലൂടെ ഫെയ്‌സ് ഐഡിയോ ഫിംഗർപ്രിന്റോ ഉപയോഗിച്ചുള്ള സുരക്ഷാ പരിശോധനകൾ ഒഴിവാക്കാനാകും. ഇതിനുപുറമെ, പൈത്തൺ സ്‌ക്രിപ്റ്റ് ഉപയോഗിച്ച് കോഡ് പരിഷ്കരിച്ച് ഉപഭോക്താവ് ബയോമെട്രിക് അംഗീകാരം നൽകിക്കഴിഞ്ഞുവെന്ന് പേയ്‌മെന്റ് മെഷീനെയും ഇവർ കബളിപ്പിക്കുന്നു.

അതുപോലെ, ഇടപാട് തുക പരിധിയിൽ താഴെയാണെന്ന് ഐഫോണിനെ തെറ്റിദ്ധരിപ്പിക്കാൻ ഈ ബൈനറി കോഡിൽ മാറ്റം വരുത്താൻ കഴിയും. ഇതിലൂടെ ഫെയ്‌സ് ഐഡി, ഫിംഗർപ്രിന്റ് തുടങ്ങിയ ബയോമെട്രിക് പരിശോധനകൾ ഹാക്കർമാർക്ക് മറികടക്കാനാകും. ഇതിനുപുറമെ, പൈത്തൺ സ്‌ക്രിപ്റ്റ് ഉപയോഗിച്ച് കോഡിൽ വീണ്ടും കൃത്രിമം കാണിച്ച്, ഉപഭോക്താവ് പണമടയ്ക്കാൻ അനുമതി നൽകിയെന്ന് പേയ്‌മെന്റ് മെഷീനെ ബോധ്യപ്പെടുത്തുകയും ചെയ്യുന്നു.

പേയ്‌മെന്റ് മെഷീനുകളും ഐഫോണും തമ്മിൽ കൈമാറുന്ന ട്രാൻസിറ്റ് 'മാജിക് ബൈറ്റുകളും' (magic bytes), ഇഎംവി ഫ്ലാഗുകളും (EMV flags) ആപ്പിൾ മനഃപൂർവ്വം എൻക്രിപ്റ്റ് ചെയ്യാതെ വിട്ടിരിക്കുകയാണെന്ന് യൂട്യൂബർ പറയുന്നു. വിവിധ സ്ഥലങ്ങളിലും പലതരത്തിലുള്ള റീഡറുകളിലും ടാപ്പ്-ടു-പേ ഫീച്ചർ ഉപയോഗിക്കേണ്ടി വരുന്നത് കൊണ്ടാണ് ഇങ്ങനെ സംഭവിച്ചതെന്നും ഇത് സുരക്ഷിതമാക്കുക എന്നത് വലിയൊരു വെല്ലുവിളിയാണെന്നും അദ്ദേഹം കൂട്ടിച്ചേർത്തു.

വിഷയത്തിൽ ആപ്പിളിന്റെ പ്രതികരണം തേടിയപ്പോൾ, ഇത് വിസ (Visa) സംവിധാനത്തിലെ പിഴവാണെന്നായിരുന്നു കമ്പനിയുടെ മറുപടി. എന്നാൽ, യഥാർത്ഥ സാഹചര്യങ്ങളിൽ ഇത്തരമൊരു തട്ടിപ്പ് നടക്കാൻ സാധ്യതയില്ലെന്നാണ് വിസ അവകാശപ്പെടുന്നത്. എങ്കിലും, ഉപഭോക്താക്കൾക്ക് പണം നഷ്ടമായാൽ വിസയുടെ 'സീറോ ലയബിലിറ്റി' (Zero liability) പോളിസി വഴി പരിരക്ഷ ലഭിക്കുമെന്നും അവർ വ്യക്തമാക്കി.

Gadgets 360 Staff റസിഡന്റ് ബോട്ട്. നിങ്ങൾ എനിക്ക് ഇമെയിൽ അയച്ചാൽ, ഒരു മനുഷ്യൻ ...കൂടുതൽ

അനുബന്ധ വാർത്തകൾ

#ഏറ്റവും പുതിയ സ്റ്റോറികൾ
  1. റെഡ്മി നോട്ട് 17 ഇന്ത്യയിൽ ഓഗസ്റ്റ് 6-ന് എത്തുന്നു; ലോഞ്ച് തീയതിയും സവിശേഷതകളും പുറത്ത്
  2. 6,500mAh ബാറ്ററിയുമായി വിവോ ടി5 ലൈറ്റ് 5ജി വിപണിയിലേക്ക്; വിൽപ്പന ജൂലൈ 22 മുതൽ
  3. വൺപ്ലസ് ഉപയോക്താക്കൾക്ക് ഷോക്ക്! ഇന്ത്യയിലെ പ്രവർത്തനം അവസാനിക്കുന്നുവോ? ഞെട്ടിക്കുന്ന റിപ്പോർട്ട്!
  4. ഗോബോൾട്ട് ടെനറ്റ് പ്രോ ഇന്ത്യയിൽ പുറത്തിറങ്ങി: ആകർഷകമായ ഫീച്ചറുകളും വിലയും അറിയാം
  5. വൺപ്ലസ് N സീരീസ് വിപുലീകരിക്കുന്നു: N6-ന് പിന്നാലെ N6x വരുന്നു; വിപണിയിൽ വൻ പ്രതീക്ഷ!
  6. 999 രൂപ നൽകി സാംസങ് ഗാലക്സി ഫോൾഡബിൾ ഫോണുകൾ പ്രീ-ബുക്ക് ചെയ്യൂ; കിടിലൻ ഓഫറുകൾ സ്വന്തമാക്കൂ!
  7. ആപ്പിളിനെയും സാംസങ്ങിനെയും വിറപ്പിക്കാൻ മോട്ടോറോള! 144Hz ഡിസ്‌പ്ലേയും കിടിലൻ ക്യാമറയുമായി എഡ്ജ് 70 മാക്സ് വിപണിയിൽ!
  8. പ്രീമിയം ഫീച്ചറുകളുമായി റെഡ്മി നോട്ട് 17; വിലയും സവിശേഷതകളും ഇങ്ങനെ
  9. ഗെയിമിംഗിന്റെ പുതിയ യുഗം! എൻവിഡിയയുടെ അത്യുഗ്രൻ സേവനം ഇന്ത്യയിൽ; ഇന്ന് തന്നെ സബ്‌സ്‌ക്രൈബ് ചെയ്യൂ!
  10. റിയൽമി C100x: വമ്പൻ ബാറ്ററി കരുത്തുമായി ഇന്ത്യയിലേക്ക്
© Copyright Red Pixels Ventures Limited 2026. All rights reserved.
Trending Products »
Latest Tech News »