ロックされた状態のスマートフォン「iPhone」から、特定の条件のもとで1万ドル(約155万円)を不正に引き出すことが可能であるとする検証動画が公開され、決済機能に関する脆弱性が明らかになったということです。
この問題は、科学系YouTubeチャンネル「Veritasium(ベリタシウム)」が新たに公開した動画で指摘されたものです。それによりますと、2021年に研究者のイオアナ・ボウレアヌ教授とトム・チョティア教授によって発見されたiPhoneの決済機能に関する脆弱性が、現在も修正されていないということです。
動画で示された手法では、決済端末をAppleの交通機関向け決済機能「エクスプレスカード」の読み取り端末であるとiPhoneに誤認させます。これにより、端末のロックを解除することなくNFC(近距離無線通信)決済を行わせ、複数の保護機能を突破して1万ドル(約155万円)を不正に引き出すことが可能だとしています。
この脆弱性は、設定画面で「エクスプレスカード」としてVisaカードが登録されている場合にのみ機能し、Mastercardなど他のクレジットカード会社では発生しないということです。
この問題についてAppleは、Visa側のシステム上の課題に起因するものだと説明しています。
一方、Visaは、仮にこの脆弱性が悪用された場合でも、不正利用による被害を全額補償する制度によって利用者は保護されるとしています。さらに、高度に制御された実験環境下では可能であるものの、現実の生活環境で悪用される可能性は「極めて低い」との見解を示しています。