એપલ એક્સપ્રેસ ટ્રાન્ઝિટ મોડમાં સુરક્ષા લૂપહોલ , NFC દ્રારા થઈ શકે છે બેંક ફ્રોડ

એપલ લાંબા સમયથી તેના યુઝર્સને મજબૂત સુરક્ષા અને ગોપનીયતા માટે ખાતરી આપે છે , પરંતુ હાલમાં એક યુટ્યુબરે કંપનીની Tap - to - Pay સુવિધા સાથે  જોડાયેલી ગંભીર કમજોરી જાહેર કરી છે . આ ખામીનો ઉપયોગ કરીને કોઈ હેકર આઈફોનને અનલોક કર્યા વિના જ યુઝર્સના બેંક ખાતામાંથી પૈસા ટ્રાન્સફર  કરી શકે છે . આ હુમલો " મેન -ઈન - ધ -મિડલ " ટેકનિક પર આધારિત છે , જેમાં NFC ટેક્નોલોજીને છેતરવામાં આવે છે જેથી આઈકોનને લાગે કે તે માન્ય PoS ટર્મિનલ અથવા ટ્રાન્ઝિટ ગેટ સાથે કનેક્ટ છે  .

આ ડેમો YouYube ચેનલ Veritasium પર બતાવવામાં આવ્યો હતો ,  જ્યાં હોસ્ટે જાણીતા ટેક યુટ્યુબરે માર્કેસ બ્રાઉનલીના લોક્ડ આઈફોન સાથે આ પ્રયોગ  કર્યો . તેમણે " Proxmark " નામના NFC રીડર ડિવાઈસનો ઉપયોગ કર્યો , જે લેપટોપ સાથે જોડાયેલું હતું . આ ડિવાઈસ આઈફોન અને પેમેન્ટ સિસ્ટમ વચ્ચેની માહિતીને કેપ્ચર કરીને આગળ રીલે કરે છે . પછી Python સ્ક્રિપ્ટની મદદથી આ ડેટાને બદલીને બીજા સ્માર્ટફોનમાં મોકલવામાં આવે છે , જે PoS મશીન પર ટેપ થાય છે . આ પ્રક્રિયામાં બંને સિસ્ટમને એવું લાગે છે કે તેઓ સીધા એકબીજા સાથે વાત કરી રહ્યા છે અને આ ટ્રાન્ઝેક્શન સફળ થઈ જાય છે 

આ પ્રયોગ દરમિયાન , બ્રાઉનલીના આઈફોન 17 પ્રોમાંથી લગભગ $10,000 (લગભગ 9.3 લાખ રૂપિયા ) ટ્રાન્સફર કરવામાં આવ્યા હતા . તે પણ ફોનને સ્પર્શ  કર્યા વિના કે અનલોક કર્યા વિના . આ હુમલો ખાસ કરીને Apple ના Express Transit Mode નો લાભ લે છે , જે યુઝર્સને બસ મેટ્રો જેવી ટ્રાન્સપોર્ટ સેવાઓમાં  ઝડપી પેમેન્ટ કરવા માટે ફોન અનલોક કર્યા વિના ઉપયોગ કરવાની મંજૂરી આપે છે .

સાયબર સુરક્ષા નિષ્ણાતોએ સમજાવ્યું કે આ પ્રક્રિયામાં ટ્રાન્ઝેક્શન દરમિયાન ઉપયોગમાં લેવાતા કેટલાક "મેજિક બાઈટ્સ " અને EMV ફ્લેગ્સ એન્ક્રિપ્ટેડ નથી  , જેના કારણે તે વચ્ચેમાં પકડાઈ અને બદલાઈ શકે છે . હુમલાખોર આ કોડને એ રીતે બદલી શકે છે કે આઈફોનને લાગે કે નાની રકમનો ટ્રાન્ઝેક્શન થઈ રહ્યો છે , જેથી બાયોમેટ્રિક ઓથેન્ટિકેશન જરૂરી ન રહે . બીજી તરફ PoS સિસ્ટમ એવું દર્શવવામાં આવે છે કે યુઝરે મંજૂરી આપી દીધી છે .

મહત્વપૂર્ણ વાત એ છે કે આ ખામીનો લાભ ફક્ત Visa ટ્રાન્ઝિટ કાર્ડસ સાથે જ લેવામાં આવી શકે છે , કારણ કે તેમની વેરિફિકેશન સિસ્ટમમાં ખાસ પ્રકારની   પ્રક્રિયા થાય છે . નિષ્ણાતોએ ચેતવણી આપી કે આ રીતે ચોરી થતી રકમ પર કોઈ મર્યાદા નથી . તે સંપૂર્ણપણે યુઝરના બેંક બેલેન્સ પર આધારિત છે . 

જ્યારે આ મુદ્દે Apple ને  સંપર્ક કરવામાં આવ્યો , ત્યારે કંપનીએ જવાબદારી Visa પર નાખી . બીજી તરફ Visa એ દાવો કર્યો કે આવી છેતરપિંડી વાસ્તવિક જીવનમાં થવાની શક્યતા ઓછી છે અને તેમના યુઝર્સ " Zero Liability Policy " હેઠળ સુરક્ષિત છે . આ ઘટનાએ ડિજિટલ પેમેન્ટ સિસ્ટમમાં સુરક્ષા અંગે નવી ચર્ચા શરૂ કરી છે અને યુઝર્સને વધુ સાવચેત રહેવાની જરૂરિયાત પર ભાર મૂક્યો છે .