اختراق في آيفون.. ثغرة “Tap to Pay” تفتح باب سحب الأموال من هاتف مقفول
كشف فيديو متداول على منصة يوتيوب عن ثغرة أمنية خطيرة في نظام الدفع الخاص بشركة Apple المعروف باسم “Tap to Pay”، والتي تتيح في ظروف معينة تنفيذ عمليات دفع مالية حتى من هاتف آيفون مقفل بالكامل دون الحاجة إلى بصمة أو تقنية Face ID.
وأثار الفيديو موجة واسعة من الجدل داخل مجتمع الأمن السيبراني حول مستوى أمان أنظمة الدفع عبر الهواتف الذكية.
تجربة عملية تكشف ما حدث
وبحسب ما ظهر في التجربة، التي جرت بمشاركة خبراء في الأمن السيبراني، تمكن صانع المحتوى التقني الشهير Marques Brownlee من استعراض سيناريو عملي انتهى بتنفيذ عمليات مالية بلغت قيمتها نحو 10,000 دولار باستخدام جهاز آيفون مغلق.
وتمت العملية عبر أجهزة خارجية تعتمد على تقنية الاتصال قريب المدى NFC، ما أثار تساؤلات حول حدود الحماية في نظام الدفع.
كيف تعمل الثغرة؟
تعتمد الثغرة على خاصية تُعرف باسم “Express Transit”، وهي ميزة صُممت أساسًا لتسهيل الدفع السريع في وسائل النقل العامة دون الحاجة لفتح الهاتف أو تأكيد الهوية في كل مرة.
لكن وفق ما ورد في الفيديو، تم استغلال هذه الخاصية في اعتراض بيانات الاتصال بين الهاتف وجهاز الدفع، ثم إعادة توجيهها بطريقة تسمح بإتمام عمليات شراء دون إذن مباشر من المستخدم.
خطورة إضافية: لا سقف واضح للخسائر
من أبرز النقاط المثيرة للقلق أن العملية—بحسب ما أُشير إليه—لا ترتبط بحد مالي ثابت، إذ تعتمد قيمة المبالغ المسحوبة على رصيد المستخدم فقط، ما يفتح الباب أمام خسائر محتملة كبيرة في حال إساءة الاستخدام.
ومع ذلك، أوضح التقرير أن الاستغلال الحالي يبدو مرتبطًا فقط ببطاقات Visa الخاصة بأنظمة النقل.
تباين في المواقف بين Apple وVisa
من جانبها، أكدت شركة Apple أن ما تم رصده يرتبط ببنية شبكة الدفع الخاصة بـVisa، وليس خللًا مباشرًا في نظامها.
في المقابل، شككت Visa في إمكانية تنفيذ هذا النوع من الاحتيال على أرض الواقع بالشكل الذي ظهر في الفيديو، مشيرة إلى أن المستخدمين يتمتعون بسياسات حماية من عمليات الاحتيال.
رسالة أوسع: لا نظام محصن بالكامل
ورغم السمعة القوية لأنظمة أمان أجهزة آيفون، أعادت هذه الواقعة فتح النقاش حول حقيقة أن أي تقنية حتي الأكثر تطورًا لا يمكن اعتبارها محصنة بالكامل، خاصة عندما تتداخل معها ميزات تسهيل الاستخدام مع طبقات الحماية الأمنية.
وتبقى هذه القضية تحت دائرة الجدل بين الشركات وخبراء الأمن السيبراني حول مدى واقعية وتأثير هذه الثغرة.
جوجل نيوز
تطبيق نبض
