En uppmärksammad demonstration visar hur pengar i vissa fall kan dras från en låst iPhone utan att användaren låser upp enheten eller godkänner köpet. Sårbarheten bygger på en kombination av Express Transit i Apple Wallet och Visa-kort, och har varit känd sedan 2021.
Det börjar nästan som ett trick.
Teknikprofilen Marques Brownlee, mer känd som MKBHD, lägger sin låsta iPhone ovanpå en till synes vanlig betalterminal. Först dras fem dollar. Sedan testas 10 000 dollar. Telefonen låses aldrig upp, inget lösenord anges, ingen Face ID-verifiering sker, och ändå går köpet igenom.
Bakom demonstrationen står säkerhetsforskare vid University of Surrey, som under flera år har studerat hur mobilbetalningar fungerar i praktiken. Det som visas är inte ett enkelt handgrepp, utan en avancerad så kallad man-in-the-middle-attack där kommunikationen mellan telefon och terminal fångas upp, ändras och skickas vidare.
Bygger på Apples transitläge
Kärnan i attacken är Apples funktion Express Transit, som infördes för att kollektivtrafikbetalningar ska gå snabbare. Tanken är att användaren ska kunna blippa sig genom spärrar utan att först låsa upp telefonen.
Det fungerar genom att telefonen känner igen en särskild signal från en kollektivtrafikterminal. När den signalen tas emot används det kort som ligger i transitläget i Apple Wallet, utan att användaren behöver verifiera köpet.
Forskarna visade att en angripare kan efterlikna den signalen. I demonstrationen får iPhonen därmed intrycket att den kommunicerar med en spärr i tunnelbanan, trots att det i själva verket handlar om ett vanligt köp.
– Det verkligt märkliga är att telefonen aldrig låstes upp. Det är den delen som känns som magi, säger Brownlee i videon.
Tre lögner i samma attack
För att attacken ska fungera räcker det inte att lura telefonen en gång. Enligt forskarna krävs tre manipulationer.
Först måste iPhonen övertygas om att det rör sig om en transitterminal, så att låsskärmen kringgås. Därefter måste telefonen luras att behandla ett högt belopp som ett lågprisbelopp, alltså en transaktion som inte kräver extra verifiering. Till sist måste själva kortterminalen fås att tro att användaren faktiskt har godkänt köpet.
Det sker genom att en rad datapunkter i kommunikationen mellan telefon och terminal ändras på vägen. Själva informationen som färdas mellan enheterna är i vissa delar inte krypterad, eftersom systemet måste fungera med ett stort antal terminaler och betalnätverk.
Resultatet blir att både telefonen och terminalen tror att de pratar direkt med varandra, trots att all kommunikation går genom angriparens utrustning.
Gäller inte alla mobiler och inte alla kort
En viktig detalj är att sårbarheten inte verkar fungera generellt för alla kombinationer av telefoner och kort.
I demonstrationen används en iPhone tillsammans med ett Visa-kort i transitläget. Forskarna menar att just den kombinationen öppnar för attacken.
Samsungs lösning fungerar enligt dem annorlunda. Där tittar systemet inte bara på en etikett som markerar om köpet är högt eller lågt, utan på det faktiska beloppet. Om en transitterminal plötsligt försöker dra motsvarande 10 000 dollar för en enda resa skulle telefonen därför stoppa transaktionen direkt.
Även skillnader mellan Visa och Mastercard spelar in. Enligt forskarna använder Mastercard i fler lägen en extra kryptografisk kontroll mellan kort och terminal, vilket gör den här typen av manipulation betydligt svårare.
Känd i fem år
Det mest anmärkningsvärda är kanske inte att attacken går att genomföra i en labbmiljö, utan att den enligt forskarna blev känd redan 2021. Då informerades både Apple och Visa privat innan detaljerna offentliggjordes.
Trots det går det fortfarande att demonstrera angreppet.
Apple ville inte ställa upp på intervju, men gav ett skriftligt svar där bolaget i praktiken pekar på Visa-systemet som den avgörande svaga länken. Visa å sin sida säger att attacken bedöms som osannolik i verklig skala, och hänvisar till att kortinnehavare skyddas av företagets policy om noll ansvar vid bedrägerier.
Det svaret imponerar inte helt på videons upphovspersoner. Deras invändning är enkel: återbetalning i efterhand är inte samma sak som att förhindra att det händer.
Teoretiskt avancerat, praktiskt ändå obehagligt
Forskarna understryker att attacken inte är trivial att genomföra. Den kräver rätt kombination av hårdvara, rätt typ av kort och särskild teknisk kunskap. Samtidigt menar de att det inte gör problemet ointressant.
I ett verkligt scenario skulle en stulen iPhone kunna vara en tydligare risk än att någon går runt och genomför avancerade angrepp mot främlingar på gatan. Men också ett mer diskret angrepp nämns i videon: en angripare med utrustning i fickan skulle i teorin kunna komma nära en person med telefonen i fickan, medan en medhjälpare genomför köpet i en butik.
Det är alltså inte ett massbedrägeri som väntar runt hörnet, men heller inte en rent akademisk övning.
Så minskar du risken
Den mest konkreta rekommendationen från forskarna är att se över transitinställningarna i Apple Wallet.
Den som inte använder Express Transit kan stänga av funktionen. Ett annat råd är att undvika att ha ett Visa-kort som aktivt transitkort i Apple Wallet, eftersom just den kombinationen pekas ut som sårbar.
Dessutom gäller det som alltid att hålla koll på transaktioner och reagera snabbt på okända köp.
Ett större principiellt problem
Historien säger också något större om modern betalningsteknik. Bekvämlighet har blivit en central del av säkerhetsdesignen. Det ska gå snabbt att betala, helst utan friktion. Men varje genväg skapar också en yta där systemen kan misstolka vad som faktiskt händer.
I det här fallet räcker det med att en iPhone tror att den står vid en spärr i tunnelbanan, när den i själva verket håller på att godkänna något helt annat.
Det är inte vardagsbedrägeri i stor skala. Men det är heller inte en sårbarhet som känns obetydlig när den låter någon dra 10 000 dollar från en låst telefon.
