Oligur

• ニュース

PayPal が所有する Venmo の重大な欠陥により、iPhone ユーザーのアカウントが危険な状態に陥り、攻撃者はわずか 2 分で 2,999.99 ドルを盗むことができた。

Venmo のセキュリティ上の欠陥は、Salesforce のセキュリティ エンジニアである Martin Vigo 氏によって発見されました。同氏は、Siri を使用してロックされた iPhone で数通のテキスト メッセージを送信するだけでアカウントから資金が流出する可能性があることを発見しました。

実際のハッキングの様子をご覧ください:

https://www.youtube.com/watch?v=2BmN7NCMES4

攻撃者はSiriに「START」という単語を含むテキストメッセージを86753に送信するよう指示するだけで済みます。iPhoneにVenmoアカウントが紐付けられている場合、攻撃者は支払いを要求できます。1回の取引あたりの上限は299.99ドル、1週間あたりの上限は2,999.99ドルです。

攻撃者はSiriにテキストメッセージを読み上げてもらうことでワンタイム認証コードを入手でき、あとは簡単に盗まれます。幸いなことに、VenmoはVigoからの報告から18日後に問題を修正したと発表していますが、そもそもこの欠陥が存在していたという事実自体が、顧客にとって好ましい兆候とは言えないでしょう。