I videon visas hur det faktiskt går att genomföra en betalning från en låst iPhone utan att ägaren godkänner den. Först låter det nästan omöjligt, men det bygger på hur mobilbetalningar med Apple Pay fungerar i praktiken. Genom att utnyttja svagheter i systemet kan forskare genomföra en betalning – till och med på 10 000 dollar – utan att telefonen låses upp.
Det som händer är att angriparen placerar sig mellan telefonen och betalterminalen. Detta kallas en man-in-the-middle-attack och innebär att kommunikationen mellan två enheter avlyssnas och manipuleras.
Först luras telefonen att tro att den används i kollektivtrafiken. Apple har ett särskilt läge för detta, där man kan betala snabbt utan att behöva låsa upp telefonen. Det är smidigt i vardagen, men i det här fallet används det för att kringgå säkerheten.
Sedan manipuleras själva betalningsinformationen. I stället för att systemet kontrollerar det faktiska beloppet, används en enkel markering i datan som säger om köpet är litet eller stort. Genom att ändra den markeringen kan angriparen få en stor betalning att se ut som en liten.
Till sist ändras även svaret tillbaka till betalterminalen så att det ser ut som att användaren har godkänt köpet, trots att ingen kod eller biometrisk verifiering har använts.
En viktig orsak till att detta fungerar är hur systemen är designade. Telefonen litar på information från betalterminalen, och kommunikationen mellan enheterna är inte alltid tillräckligt skyddad.
Dessutom fungerar olika betalningssystem på olika sätt. I det här fallet handlar det om en kombination av iPhone och Visa, där vissa säkerhetskontroller saknas i just den här situationen.
Det här visar en viktig avvägning inom teknik: säkerhet och användarvänlighet hänger ofta ihop. Funktionen som gör att du kan betala snabbt utan att låsa upp telefonen är väldigt smidig och sparar tid i vardagen.
Samtidigt öppnar den upp för risker om den inte är tillräckligt säker. Ju enklare och snabbare ett system är att använda, desto större är risken att säkerheten kompromissas. Därför måste säkerheten alltid fungera i första hand, även om det ibland innebär att systemet blir lite mindre bekvämt att använda.
Även om attacken är avancerad och svår att genomföra i verkligheten, visar den något viktigt: även moderna och till synes säkra system kan ha svagheter. Företag menar att risken är liten och att användare kan få tillbaka sina pengar vid bedrägeri, men det förändrar inte att sådana här problem kan skapa oro och konsekvenser för den som drabbas.