Ο μύθος της μεγάλης κλοπής του Apple Pay

Ο φόβος αποτελεί παραδοσιακά ένα από τα πιο ισχυρά και αποτελεσματικά εργαλεία όταν ο στόχος είναι να γίνει ένα θέμα viral στο διαδίκτυο και στα μέσα μαζικής ενημέρωσης. Εάν παρακολουθείτε τηλεόραση τις τελευταίες δεκαετίες, σίγουρα θα έχετε παρατηρήσει ότι πολλά νυχτερινά δελτία ειδήσεων χτίζουν την τηλεθέασή τους πάνω σε ιστορίες που υπονοούν ότι ο μέσος πολίτης βρίσκεται διαρκώς υπό απειλή. Η πλατφόρμα του YouTube δεν αποτελεί εξαίρεση σε αυτή την τακτική προσέλκυσης κοινού. Πρόσφατα, ο Marques Brownlee, ένας από τους πιο διάσημους δημιουργούς περιεχομένου στον χώρο της τεχνολογίας, συνεργάστηκε με το κανάλι Veritasium για να παρουσιάσουν ένα βίντεο όπου φαινομενικά κατάφεραν να κλέψουν δέκα χιλιάδες δολάρια από ένα κλειδωμένο iPhone. Η μέθοδος που χρησιμοποίησαν βασίστηκε σε μια γνωστή τεχνική υποκλοπής κατά την οποία τα δεδομένα της συναλλαγής παρεμποδίζονται την ώρα που το κινητό επικοινωνεί με το τερματικό πληρωμής.

Ωστόσο, είναι εξαιρετικά σημαντικό να ξεκαθαρίσουμε το τοπίο από την αρχή, ώστε να αποφευχθεί ο αδικαιολόγητος πανικός. Αυτό το σενάριο ψηφιακής ληστείας είναι πρακτικά αδύνατο να συμβεί σε εσάς ή σε οποιονδήποτε μέσο καταναλωτή. Δεν συντρέχει απολύτως κανένας λόγος ανησυχίας και δεν χρειάζεται να προβείτε σε καμία απολύτως ενέργεια ή αλλαγή στις ρυθμίσεις της συσκευής σας για να προστατευτείτε από αυτή την εξαιρετικά απίθανη απειλή. Το βίντεο μπορεί να είναι εντυπωσιακό από σκηνοθετική άποψη, αλλά η πραγματικότητα της καθημερινής χρήσης απέχει παρασάγγας από αυτό που προβάλλεται στην οθόνη.

Για να κατανοήσουμε την πολυπλοκότητα αυτής της επίθεσης, πρέπει να αναλύσουμε τον ακριβή τρόπο λειτουργίας της. Με απλά λόγια, αυτή η υποκλοπή απαιτεί το κλειδωμένο σας iPhone να τοποθετηθεί πάνω σε έναν ειδικό αναγνώστη NFC, ο οποίος είναι ταυτόχρονα συνδεδεμένος με τον φορητό υπολογιστή του επιτιθέμενου. Αυτό σημαίνει πρακτικά ότι το πρώτο και βασικότερο βήμα για να πετύχει το κόλπο είναι ότι το iPhone σας πρέπει να έχει ήδη κλαπεί και να βρίσκεται στα χέρια του δράστη. Κανένας χάκερ δεν μπορεί να εκτελέσει αυτή την επίθεση από απόσταση ενώ κάθεστε αμέριμνοι σε μια καφετέρια ή περπατάτε στον δρόμο.

Επιπλέον, οι αυστηρές προϋποθέσεις δεν σταματούν εκεί. Για να λειτουργήσει το σύστημα που παρουσιάστηκε, ο χρήστης πρέπει να έχει συνδέσει αποκλειστικά μια κάρτα Visa στην ειδική λειτουργία Express Transit που προσφέρει το Apple Wallet. Το πρόβλημα σε αυτή την περίπτωση δεν έγκειται σε κάποιο κενό ασφαλείας των συστημάτων της ίδιας της Apple, αλλά σε μια συγκεκριμένη αδυναμία στα πρωτόκολλα επικοινωνίας και ασφαλείας που χρησιμοποιεί η Visa. Εάν, λοιπόν, πληρούνται ταυτόχρονα αυτές οι εξαιρετικά σπάνιες συνθήκες και ο επιτιθέμενος ξεκινήσει μια πληρωμή σε ένα εξίσου παραβιασμένο τερματικό, τότε και μόνο τότε τα χρήματα μπορούν να εγκριθούν και να αφαιρεθούν.

Ας εξετάσουμε το ζήτημα ρεαλιστικά. Στον κόσμο του εγκλήματος, υπάρχουν πολύ πιο απλοί, γρήγοροι και οικονομικά αποδοτικοί τρόποι για να κλέψει κανείς χρήματα χρησιμοποιώντας την τεχνολογία. Οι συσκευές υποκλοπής δεδομένων που τοποθετούνται συχνά και διακριτικά σε αντλίες βενζινάδικων αποτελούν μια πολύ πιο πραγματική και καθημερινή απειλή. Αν κάποιος έχει στοχοποιηθεί επειδή διαθέτει μεγάλη οικονομική επιφάνεια, αυτή η περίπλοκη τεχνική υποκλοπής μέσω του Apple Pay δεν αποτελεί τη λύση που θα επέλεγε ένας επαγγελματίας εγκληματίας. Θα έπρεπε να συντρέχουν ταυτόχρονα όλες οι ιδανικές συνθήκες: το θύμα να είναι εύπορο, να διαθέτει iPhone, να έχει εγκατεστημένη κάρτα Visa στο Express Transit και να αφήσει τη συσκευή του εκτεθειμένη.

Ακόμα όμως και στο εντελώς ακραίο σενάριο όπου όλα τα παραπάνω συμβούν ταυτόχρονα, ο χρήστης δεν πρόκειται να μείνει απροστάτευτος απέναντι στην οικονομική απώλεια. Τα χρήματα που ενδεχομένως θα αφαιρεθούν από τον τραπεζικό του λογαριασμό θα επιστραφούν πλήρως, χάρη στις ισχυρές πολιτικές προστασίας από απάτες που προσφέρει η Visa. Σίγουρα, η όλη διαδικασία της αναφοράς στην τράπεζα και της αναμονής θα προκαλέσει μια προσωρινή ταλαιπωρία στον κάτοχο της κάρτας, αλλά το τελικό αποτέλεσμα είναι ότι το πρόβλημα επιλύεται σχετικά εύκολα.

Το επίμαχο βίντεο προσπαθεί έντονα να πείσει τους θεατές να απενεργοποιήσουν τη λειτουργία Express Transit για να νιώθουν απόλυτα ασφαλείς, ενώ παράλληλα ρίχνει ένα τεράστιο μερίδιο ευθύνης στην Apple για το γεγονός ότι η υπηρεσία είναι ενεργοποιημένη εξ ορισμού. Αυτή η προσέγγιση θεωρείται από τους ειδικούς λανθασμένη. Το μεγαλύτερο πλεονέκτημα του Express Transit είναι ότι επιτρέπει στον χρήστη να χρησιμοποιεί την κάρτα του στο Apple Pay για τις μετακινήσεις του ακόμα και όταν η μπαταρία του iPhone έχει εξαντληθεί πλήρως. Εάν επιλέξετε να απενεργοποιήσετε αυτή τη ρύθμιση υπό το καθεστώς φόβου για μια καθαρά θεωρητική απειλή, ουσιαστικά στερείτε από τον εαυτό σας ένα εξαιρετικά χρήσιμο εργαλείο.

Οι ερευνητές που συμμετείχαν στην παρουσίαση άφησαν επίσης να εννοηθεί στο κοινό ότι θα ήταν σχετικά εύκολο για κάποιον επιτήδειο να στήσει έναν μηχανισμό κλοπής που θα λειτουργούσε αόρατα ενώ το κινητό βρίσκεται στην τσέπη σας σε κάποιον δημόσιο χώρο. Με βάση τα τεχνικά δεδομένα που παρουσιάζονται, αυτό το σενάριο φαντάζει πρακτικά ανέφικτο. Ο εξοπλισμός απαιτεί παρατεταμένη και εξαιρετικά σταθερή επαφή με τη συσκευή καθόλη τη διάρκεια της συναλλαγής. Επίσης, ο κλέφτης θα έπρεπε να συντονίσει τέλεια τις κινήσεις του με έναν συνεργάτη που θα πατούσε τα κουμπιά στο παραβιασμένο τερματικό.

Το πιο ρεαλιστικό σενάριο χρήσης αυτής της τεχνικής, όπως προαναφέρθηκε, περιλαμβάνει μια ήδη κλεμμένη συσκευή. Ο κλέφτης θα έπρεπε να αρπάξει το iPhone σας μέσα στο πλήθος, να τρέξει γρήγορα σε μια ασφαλή τοποθεσία και να εκτελέσει την πολύπλοκη παράνομη συναλλαγή πριν προλάβετε να αντιληφθείτε την κλοπή και να κλειδώσετε τη συσκευή οριστικά μέσω της εφαρμογής Find My.

Συμπερασματικά, πρόκειται για ένα ενδιαφέρον τεχνολογικό πείραμα που προσελκύει τα βλέμματα, αλλά δεν αποτελεί λόγο για να αλλάξουμε τις συνήθειές μας. Το συγκεκριμένο κενό ασφαλείας είναι γνωστό στο ευρύ κοινό από το έτος δύο χιλιάδες είκοσι ένα. Από τότε μέχρι σήμερα δεν έχει καταγραφεί ούτε ένα φαινόμενο μαζικής απάτης. Η ίδια η Visa διατηρεί σταθερά τη στάση της, υποστηρίζοντας ότι η ευπάθεια είναι τόσο ασήμαντη στην πράξη, ώστε το τεράστιο κόστος που απαιτείται για την τεχνική επιδιόρθωσή της ξεπερνά κατά πολύ το όποιο κόστος αποζημίωσης των ελάχιστων πιθανών θυμάτων. Ας συνεχίσουμε, λοιπόν, να απολαμβάνουμε τις ψηφιακές μας ευκολίες με ηρεμία.