Ωστόσο, μια επίδειξη ερευνητών έρχεται να υπενθυμίσει ότι ακόμη και αυτά τα συστήματα δεν είναι άτρωτα, καθώς σε συγκεκριμένες συνθήκες μπορεί να πραγματοποιηθεί συναλλαγή από iPhone χωρίς αυτό να ξεκλειδωθεί ή να ζητηθεί οποιαδήποτε επιβεβαίωση από τον χρήστη.
Στο πείραμα που πραγματοποιήθηκε με τη βοήθεια ειδικών στην κυβερνοασφάλεια, ένα iPhone τοποθετήθηκε πάνω σε μια συσκευή που έμοιαζε με κανονικό τερματικό πληρωμών και μέσα σε λίγα δευτερόλεπτα πραγματοποιήθηκε χρέωση, αρχικά μικρού ποσού και στη συνέχεια ακόμη και 10.000 δολαρίων, χωρίς να απαιτηθεί Face ID ή PIN, με το σύστημα να εγκρίνει κανονικά τη συναλλαγή. Το πιο ανησυχητικό στοιχείο είναι ότι η συσκευή παρέμεινε κλειδωμένη καθ’ όλη τη διάρκεια της διαδικασίας.
Η μέθοδος βασίζεται σε μια τεχνική γνωστή ως man-in-the-middle, όπου οι επιτιθέμενοι παρεμβάλλονται ανάμεσα στο τηλέφωνο και το POS, υποκλέπτοντας και τροποποιώντας τα δεδομένα που ανταλλάσσονται μέσω NFC σε πραγματικό χρόνο . Στην πράξη, τόσο το iPhone όσο και το τερματικό πιστεύουν ότι επικοινωνούν απευθείας μεταξύ τους, ενώ στην πραγματικότητα η επικοινωνία περνά μέσα από ενδιάμεσες συσκευές που αλλοιώνουν κρίσιμες πληροφορίες της συναλλαγής.
Για να λειτουργήσει η επίθεση, οι ερευνητές εκμεταλλεύονται πρώτα το Express Transit Mode, μια λειτουργία που επιτρέπει πληρωμές σε μέσα μεταφοράς χωρίς να απαιτείται ξεκλείδωμα της συσκευής. Με κατάλληλη παραποίηση των σημάτων, το iPhone πείθεται ότι βρίσκεται μπροστά σε τερματικό συγκοινωνίας και έτσι παρακάμπτει τους βασικούς μηχανισμούς ελέγχου . Στη συνέχεια, αλλοιώνεται η ένδειξη που καθορίζει αν μια συναλλαγή θεωρείται υψηλής ή χαμηλής αξίας. Αντί να βασίζεται στο πραγματικό ποσό, το σύστημα χρησιμοποιεί ένα απλό flag, το οποίο μπορεί να αλλάξει ώστε ακόμη και μια συναλλαγή χιλιάδων ευρώ να εμφανίζεται ως χαμηλής αξίας, αποφεύγοντας έτσι την απαίτηση για επιβεβαίωση. Τέλος, τροποποιείται και η απάντηση προς το POS, ώστε να φαίνεται ότι έχει πραγματοποιηθεί κανονικά επαλήθευση από τον χρήστη, ακόμη κι αν κάτι τέτοιο δεν έχει συμβεί.
Ένας από τους λόγους που καθιστούν δυνατή την επίθεση είναι ότι μέρος της επικοινωνίας μεταξύ συσκευής και τερματικού δεν είναι πλήρως κρυπτογραφημένο, κάτι που γίνεται για λόγους συμβατότητας με τα πολυάριθμα συστήματα πληρωμών που χρησιμοποιούνται διεθνώς . Παράλληλα, σημαντικό ρόλο παίζει και ο τρόπος με τον οποίο διαφορετικά δίκτυα καρτών υλοποιούν τους ελέγχους ασφαλείας, με τη συγκεκριμένη περίπτωση να συνδέεται κυρίως με τη χρήση iPhone και καρτών Visa. Αξίζει να σημειωθεί ότι η συγκεκριμένη τεχνική δεν είναι καινούργια, καθώς έγινε γνωστή ήδη από το 2021Tap, χωρίς ωστόσο να έχει εξαλειφθεί πλήρως μέχρι σήμερα.
Στην πράξη, η επίθεση απαιτεί εξειδικευμένο εξοπλισμό και δεν θεωρείται εύκολο να εφαρμοστεί μαζικά, ωστόσο το γεγονός ότι είναι γνωστή από το 2021 και εξακολουθεί να υφίσταται δημιουργεί εύλογους προβληματισμούς. Η Apple αποδίδει την ευπάθεια στο σύστημα της Visa, ενώ η Visa από την πλευρά της υποστηρίζει ότι τέτοιου είδους περιστατικά είναι εξαιρετικά σπάνια και ότι οι χρήστες καλύπτονται μέσω πολιτικών επιστροφής χρημάτων σε περίπτωση απάτης.
Παρά τις διαβεβαιώσεις αυτές, το ενδεχόμενο να δει κάποιος μια μεγάλη χρέωση χωρίς να έχει κάνει καμία ενέργεια, έστω και προσωρινά μέχρι να ολοκληρωθεί η επιστροφή χρημάτων, παραμένει ένα σενάριο που προκαλεί ανησυχία. Για τον λόγο αυτό, όσοι χρησιμοποιούν συχνά ανέπαφες πληρωμές μπορούν να περιορίσουν τον κίνδυνο απενεργοποιώντας το Express Transit Mode ή ελέγχοντας τις κάρτες που έχουν ορίσει για τέτοιες χρήσεις, ενώ η τακτική παρακολούθηση των συναλλαγών εξακολουθεί να αποτελεί βασική πρακτική ασφαλείας.
Η συγκεκριμένη περίπτωση δεν σημαίνει ότι οι ανέπαφες πληρωμές είναι μη ασφαλείς, αλλά δείχνει ότι ακόμη και ώριμες τεχνολογίες μπορούν να παρουσιάσουν αδυναμίες όταν η ευκολία χρήσης και η συμβατότητα έρχονται σε σύγκρουση με την απόλυτη ασφάλεια. Το ερώτημα που παραμένει είναι αν τέτοια προβλήματα ασφαλείας είναι αποδεκτές σε ένα σύστημα που διαχειρίζεται καθημερινά δισεκατομμύρια συναλλαγές παγκοσμίως.
