على مدار السنوات الخمس الماضية، كانت هناك ثغرة أمنية معروفة تتعلق بميزة "الدفع بنقرة واحدة" (Tap-to-pay) في هواتف آيفون، وقد تم مؤخراً تسليط الضوء عليها بشكل مكثف عبر فيديو تقني عميق. ومع ذلك، هناك خبر سار لمستخدمي الأنظمة المنافسة، حيث أن هاتفك الذي يعمل بنظام أندرويد ليس عرضة لهذا الخطر الأمني المحدد، مما يعكس تباينًا في سياسات الأمان بين الشركتين.
- ✅ الثغرة تستهدف وضع "Express Mode" في هواتف آيفون الذي يسمح بالدفع دون إلغاء قفل الشاشة.
- ✅ هواتف أندرويد محمية بفضل اشتراط جوجل تشغيل الشاشة أو استخدام المصادقة الحيوية.
- ✅ المشكلة تكمن في كيفية معالجة شركة Visa للمدفوعات الكبيرة عند تزييف هوية محطة دفع تابعة للنقل العام.
أصبحت تقنية الدفع عبر الهاتف منتشرة في كل مكان الآن، وتعتبر بشكل عام آمنة للغاية. ومع ذلك، كشف فيديو جديد من قناة Veritasium عن ثغرة قديمة تسمح بإجراء عمليات شراء ضخمة دون الحاجة حتى إلى إلغاء قفل الهاتف. تعتمد هذه "الخدعة" المعقدة على إيهام الهاتف بأنه يتواصل مع نظام نقل عام (مثل بوابات المترو)، حيث تتيح أوضاع خاصة في كل من أندرويد وآيفون تجاوز متطلبات إلغاء القفل المعتادة لتسريع عملية المرور، كما أنها تعمل دون اتصال بالإنترنت لتناسب محطات المترو تحت الأرض.
لماذا آيفون هو الضحية الوحيدة لهذه الثغرة؟
تكمن المشكلة في ميزة تُعرف باسم "الوضع السريع" (Express Mode) على هواتف آيفون، والتي تسمح لأنظمة النقل بتجاوز شاشة القفل. يقترن ذلك بخلل في كيفية معالجة شركة Visa للمشتريات الكبيرة، حيث لا يتم حظر المبالغ الضخمة عندما يُعتقد أنها تمت في سياق النقل العام. تتطلب العملية أجهزة خاصة وهاتف أندرويد "معدل بصلاحيات الروت" (Rooted) ليعمل كمحاكي للبطاقات. ومن المثير للاهتمام أن شركة آبل ألقت باللوم على Visa، بينما ترى الأخيرة أن وقوع مثل هذا الهجوم في العالم الحقيقي أمر مستبعد، مؤكدة أن أي هجوم من هذا النوع ستغطيه سياسة Visa للحماية من الاحتيال.
كلا الشركتين، آبل وفيزا، على علم بهذه الثغرة **أمن المعلومات** منذ عام 2021. وقد بررت فيزا استبعاد وقوع الهجوم بأن عملية "عمل روت" لهاتف أندرويد هي إجراء صعب، وهو تبرير قد يراه الخبراء التقنيون غير كافٍ بالنظر إلى خطورة الموقف.
كيف يحمي نظام أندرويد مستخدميه؟
النقطة الجوهرية التي يجب تسليط الضوء عليها هي أن هواتف أندرويد الحالية غير معرضة لهذا الهجوم بالتحديد. فكما يوضح الفيديو، تقوم شركة سامسونج تلقائيًا بوضع علامة تحذير على المشتريات الكبيرة التي تتم عبر أوضاع النقل. أما جوجل، فقد أضافت طبقة أمان إضافية؛ حيث تتيح **محفظة جوجل** (Google Wallet) الدفع والجهاز مقفل، لكنها تشترط أن تكون الشاشة قيد التشغيل على الأقل. علاوة على ذلك، تعمل جوجل حالياً على تعزيز أمان تطبيق المحفظة من خلال طلب المصادقة الحيوية (بصمة الإصبع أو الوجه) حتى في العمليات التي لا تتعلق بالدفع مباشرة.
هل يمكن استخدام هذه الثغرة لسرقة الأموال من هاتفي الأندرويد؟
لا، نظام أندرويد يتطلب أن تكون الشاشة مضاءة على الأقل لإتمام أي عملية دفع، كما أن أنظمة مثل سامسونج وجوجل تضع حدوداً صارمة للمبالغ التي يمكن دفعها دون مصادقة كاملة، مما يجعل هذا النوع من الهجمات "التنكرية" غير فعال.
ما هو "الوضع السريع" في آيفون ولماذا هو خطر؟
الوضع السريع مصمم لتسهيل المرور عبر بوابات المترو والحافلات دون الحاجة لفتح الهاتف بـ FaceID أو بصمة الإصبع. الخطر يكمن في إمكانية تلاعب المهاجمين بهذا البروتوكول لإيهام الهاتف بأنه يدفع تذكرة مترو، بينما هم في الواقع يسحبون مبالغ كبيرة.
لماذا ذكر التقرير بطاقات Visa تحديداً؟
أظهرت الأبحاث أن هذه الثغرة تظهر بشكل أساسي عند استخدام بطاقات Visa داخل خدمة Apple Pay في وضع النقل السريع، حيث توجد فجوة في كيفية التحقق من المبالغ المالية بين نظام الدفع في آبل وبروتوكولات Visa.
كيف يمكن لمستخدمي آيفون حماية أنفسهم؟
أفضل وسيلة حالياً هي تعطيل ميزة "الوضع السريع" (Express Mode) لبطاقات الائتمان في إعدادات المحفظة، واشتراط المصادقة الحيوية لكل عملية دفع حتى يتم إصدار تحديث أمني جذري يعالج هذه الفجوة.
هل قامت جوجل بتحديث إجراءات الأمان مؤخراً؟
نعم، بدأت جوجل في فرض شروط أكثر صرامة داخل **تحديثات أندرويد** الأخيرة، حيث تطلب المحفظة الآن تأكيد الهوية بشكل متكرر وتمنع العمليات المشبوهة التي تتم والجهاز في وضع الخمول تماماً.
🔎 في الختام، تذكرنا هذه الثغرة بأن الراحة في الاستخدام (مثل الدفع السريع دون فتح القفل) قد تأتي أحياناً على حساب الأمان. وبينما تفتخر آبل ببيئة نظامها المغلقة، أثبتت آليات الأمان المرنة في أندرويد وجوجل أنها كانت أكثر استعداداً لمواجهة هذا النوع من التهديدات المعقدة. ابقَ دائماً حذراً وراقب كشوفات حسابك البنكي بانتظام لضمان سلامة مدفوعاتك الرقمية.
قم بالتعليق على الموضوع