Forskere stjal 10.000 dollars fra MKBHD’s låste iPhone via NFC og Visa-kort

Et iPhone-angreb kan hæve penge fra en låst enhed – og det får Apple Pay-sikkerhed i fokus

Forskere har demonstreret et iPhone-exploit, hvor et tilknyttet Visa-kort kan misbruges til at stjæle penge fra en låst iPhone via NFC. Sagen er blevet kendt, fordi den blev fremhævet af den populære YouTube-kanal Veritasium og blandt andet viste, hvordan der kunne stjæles 10.000 dollars fra MKBHD’s låste iPhone.

Det vigtige her er ikke kun beløbet, men præmissen: at en betalingshandling kan udløses, selv om telefonen er låst, når den bliver narret til at tro, at der foretages en betaling ved en massetransit-terminal.

Sådan fungerer udnyttelsen i grove træk

Ifølge beskrivelsen udnytter angrebet samspillet mellem iPhone, NFC og et tilknyttet Visa-kort. Tricket handler om at få iPhonen til at “opfatte” situationen som en transit-betaling – en type betaling, der kan gennemføres fra låst skærm.

Det sker ved at simulere en massetransit-terminal og få telefonen til at reagere som ved et legitimt tap-to-pay-øjeblik. Resultatet kan være, at der bliver gennemført betalinger uden at brugeren låser enheden op.

Der er en stor praktisk barriere

Selv om konsekvensen kan være dyr, understreges det samtidig, at processen er kompleks: Angrebet kræver fysisk adgang til enheden samt specialiseret hardware. Det er altså ikke en “fjern-hack”-situation, men et scenarie, hvor angriberen står tæt på offeret og kan udføre en teknisk opsætning.

Hvorfor det betyder noget

Apple Pay og kontaktløse betalinger er bygget til at være hurtige – især i transit-situationer. Netop derfor er det afgørende, at undtagelserne (som hurtige betalinger fra låst skærm) ikke kan misbruges. Når et exploit kan udnytte den flow-optimerede oplevelse, rammer det en kerneværdi: tillid.

For almindelige brugere ligger pointen i at forstå risikoprofilen: Det er ikke et bredt internetangreb, men et fysisk, målrettet angreb, der kan få økonomiske konsekvenser.

Min vurdering

Det her er en af de sikkerhedshistorier, der lyder som science fiction, men som netop derfor er værd at tage seriøst. Kombinationen af NFC, betalingssystemer og “lås-skærm”-flow er ekstremt praktisk i hverdagen – og samtidig en magnet for kreative angreb.

At angrebet kræver fysisk adgang og specialhardware, gør det mindre relevant som massefænomen, men mere relevant som målrettet risiko. Når en låst iPhone kan narres til at gennemføre betalinger i et transit-lignende scenarie, er det en påmindelse om, at de mest bekvemme funktioner ofte er dem, der skal designes med den hårdeste sikkerhedsmargin.