นักวิจัยสาธิตขโมยเงิน MKBHD ทีเดียว 10,000 ดอลลาร์ ผ่าน Apple Pay ผ่านบัตรวีซ่าด้วยช่องโหว่เก่า 5 ปี, วีซ่าระบุหากลูกค้าถูกโจมตีสามารถขอเงินคืนภายหลังได้
Body
ทีมวิจัยจากมหาวิทยาลัย Surrey และมหาวิทยาลัย Birmingham สาธิตขโมยเงิน 10,000 ดอลลาร์จาก MKBHD ยูทูบเบอร์ชื่อดัง ผ่านช่อง Veritasium ช่องสารคดีบนยูทูบที่มีผู้ติดตามกว่า 20 ล้านคน โดยทีมวิจัยสามารถสั่งจ่ายเงินผ่าน Apple Pay ที่ล็อกหน้าจอโทรศัพท์อยู่ และโทรศัพท์อนุมัติการจ่ายเงิน 10,000 ดอลลาร์โดยไม่ขอคำยืนยันจากผู้ใช้โทรศัพท์แต่อย่างใด
การโจมตีนี้เป็นการดักคั่นการเชื่อมต่อ (man in the middle attack - MITM) ช่องโหว่นี้อาศัยฟีเจอร์ Express Mode ของ Apple Pay ที่อนุมัติการจ่ายเงินจำนวนน้อยๆ เช่น การเดินทางขนส่งสาธารณะให้สามารถจ่ายได้ทันทีโดยไม่ต้องปลดล็อกหน้าจอ นอกจากนี้ Apple Pay ยังไม่ตรวจสอบจำนวนเงินที่ขออนุมัติจ่าย แต่เชื่อ flag ระบุธุรกรรมมูลค่าสูงจากเครื่องรับบัตรโดยตรงแทน ทำให้นักวิจัยสามารถแปลงข้อความให้กลายเป็นธุรกรรมมูลค่าต่ำได้ หลังจากนั้นอาศัยแนวทางของวีซ่าที่ไม่บังคับให้เครื่องอ่านบัตรต้องยืนยันลายเซ็นดิจิทัลของข้อความอนุมัติการจ่ายเงินจากบัตรหากเครื่องอ่านบัตรออนไลน์อยู่ ทำให้การแปลงข้อความระหว่างทางทำได้ ขณะที่ Mastercard บังคับให้ทุกธุรกรรมต้องตรวจสอบลายเซ็นข้อความตลอดเวลา
ทีมวิจัยระบุว่าได้แจ้งทั้งแอปเปิลและวีซ่าแล้วตั้งแต่ปี 2021 ในรายการนี้ Veritasium ขอความเห็นทั้งแอปเปิลและวีซ่า แอปเปิลระบุว่าวีซ่ายืนยันว่าลูกค้าได้รับความคุ้มครองผ่าน zero liability policy แล้ว ขณะที่ Micheal Jabbara รองประธานอาวุโสวีซ่าระบุว่าการโจมตีมีโอกาสน้อยที่คนร้ายจะโจมตีเป็นวงกว้าง และในกรณีที่ถูกโจมตีลูกค้าสามารถขอเงินคืนได้
ประวัติของการใช้เทคโนโลยีรักษาความปลอดภัยของวงการธนาคารโดยรวมไม่ดีนัก เนื่องจากให้น้ำหนักกับการรักษาความเข้ากันได้กับเครื่องรับบัตรจำนวนมหาศาลในตลาด เช่น กระบวนการเลิกใช้งานบัตรแม่เหล็กนั้นกินเวลาหลายสิบปี ในไทยเองเลิกใช้งานได้เมื่อต้นปี 2020 หลังจากมีเหยื่อถูกสำเนาบัตรจำนวนมากอยู่หลายรอบ ส่วนการเลิกออกบัตรแม่เหล็กทั่วโลกน่าจะใช้เวลาถึงปี 2033 ที่ผ่านมามักอาศัยการออกนโยบายว่าใครเป็นผู้รับผิดชอบหากลูกค้าถูกขโมยเงิน มากกว่าจะเป็นการบังคับใช้เทคโนโลยีใหม่ที่ปิดช่องโหว่เดิมไปได้
ที่มา - YouTube: Veritasium
lew Thu, 16/04/2026 - 02:23
Continue reading...
Body
ทีมวิจัยจากมหาวิทยาลัย Surrey และมหาวิทยาลัย Birmingham สาธิตขโมยเงิน 10,000 ดอลลาร์จาก MKBHD ยูทูบเบอร์ชื่อดัง ผ่านช่อง Veritasium ช่องสารคดีบนยูทูบที่มีผู้ติดตามกว่า 20 ล้านคน โดยทีมวิจัยสามารถสั่งจ่ายเงินผ่าน Apple Pay ที่ล็อกหน้าจอโทรศัพท์อยู่ และโทรศัพท์อนุมัติการจ่ายเงิน 10,000 ดอลลาร์โดยไม่ขอคำยืนยันจากผู้ใช้โทรศัพท์แต่อย่างใด
การโจมตีนี้เป็นการดักคั่นการเชื่อมต่อ (man in the middle attack - MITM) ช่องโหว่นี้อาศัยฟีเจอร์ Express Mode ของ Apple Pay ที่อนุมัติการจ่ายเงินจำนวนน้อยๆ เช่น การเดินทางขนส่งสาธารณะให้สามารถจ่ายได้ทันทีโดยไม่ต้องปลดล็อกหน้าจอ นอกจากนี้ Apple Pay ยังไม่ตรวจสอบจำนวนเงินที่ขออนุมัติจ่าย แต่เชื่อ flag ระบุธุรกรรมมูลค่าสูงจากเครื่องรับบัตรโดยตรงแทน ทำให้นักวิจัยสามารถแปลงข้อความให้กลายเป็นธุรกรรมมูลค่าต่ำได้ หลังจากนั้นอาศัยแนวทางของวีซ่าที่ไม่บังคับให้เครื่องอ่านบัตรต้องยืนยันลายเซ็นดิจิทัลของข้อความอนุมัติการจ่ายเงินจากบัตรหากเครื่องอ่านบัตรออนไลน์อยู่ ทำให้การแปลงข้อความระหว่างทางทำได้ ขณะที่ Mastercard บังคับให้ทุกธุรกรรมต้องตรวจสอบลายเซ็นข้อความตลอดเวลา
ทีมวิจัยระบุว่าได้แจ้งทั้งแอปเปิลและวีซ่าแล้วตั้งแต่ปี 2021 ในรายการนี้ Veritasium ขอความเห็นทั้งแอปเปิลและวีซ่า แอปเปิลระบุว่าวีซ่ายืนยันว่าลูกค้าได้รับความคุ้มครองผ่าน zero liability policy แล้ว ขณะที่ Micheal Jabbara รองประธานอาวุโสวีซ่าระบุว่าการโจมตีมีโอกาสน้อยที่คนร้ายจะโจมตีเป็นวงกว้าง และในกรณีที่ถูกโจมตีลูกค้าสามารถขอเงินคืนได้
ประวัติของการใช้เทคโนโลยีรักษาความปลอดภัยของวงการธนาคารโดยรวมไม่ดีนัก เนื่องจากให้น้ำหนักกับการรักษาความเข้ากันได้กับเครื่องรับบัตรจำนวนมหาศาลในตลาด เช่น กระบวนการเลิกใช้งานบัตรแม่เหล็กนั้นกินเวลาหลายสิบปี ในไทยเองเลิกใช้งานได้เมื่อต้นปี 2020 หลังจากมีเหยื่อถูกสำเนาบัตรจำนวนมากอยู่หลายรอบ ส่วนการเลิกออกบัตรแม่เหล็กทั่วโลกน่าจะใช้เวลาถึงปี 2033 ที่ผ่านมามักอาศัยการออกนโยบายว่าใครเป็นผู้รับผิดชอบหากลูกค้าถูกขโมยเงิน มากกว่าจะเป็นการบังคับใช้เทคโนโลยีใหม่ที่ปิดช่องโหว่เดิมไปได้
ที่มา - YouTube: Veritasium
lew Thu, 16/04/2026 - 02:23
Continue reading...