Apple Pay被爆安全漏洞 可繞過鎖屏進(jìn)行欺詐性支付

英國(guó)的一個(gè)研究小組近日發(fā)現(xiàn)了和 Visa 卡和 Apple Pay 相關(guān)的安全問題，可能導(dǎo)致攻擊者繞過鎖屏并進(jìn)行欺詐性支付。根據(jù)該研究，當(dāng) Visa 卡在 iPhone 上被設(shè)置為蘋果的 Express Transit 模式時(shí)，該缺陷可能允許攻擊者繞過 iPhone 鎖屏，在沒有密碼的情況下進(jìn)行非接觸式支付。

蘋果的 Express Transit 模式允許用戶在不解鎖設(shè)備的情況下，使用信用卡、借記卡或交通卡快速支付交通費(fèi)用。研究人員說(shuō)，該漏洞只影響存儲(chǔ)在 Wallet 應(yīng)用中的 Visa 卡。它是由交通門或交通轉(zhuǎn)門使用的獨(dú)特代碼造成的，這些代碼向 iPhone 發(fā)出信號(hào)，以解鎖 Apple Pay。

通過使用普通的無(wú)線電設(shè)備，研究人員能夠進(jìn)行攻擊，誘使 iPhone 相信它是在一個(gè)交通門前。這個(gè)概念驗(yàn)證攻擊涉及一個(gè)啟用了 Express Transit 的 iPhone，向一個(gè)智能支付閱讀器進(jìn)行欺詐性支付。類似的攻擊可能已經(jīng)被黑客利用，通過廣播獨(dú)特的代碼和修改一系列的變量。

然而，研究人員指出，這種攻擊在大范圍內(nèi)似乎并不實(shí)用。即使攻擊者能夠成功，銀行和金融機(jī)構(gòu)也有其他機(jī)制，通過檢測(cè)可疑交易來(lái)阻止欺詐。

論文的作者是 Andreea-Ina Radu、Tom Chothia、Christopher J.P. Newton、Ioana Boureanu 和 Liqun Chen，該論文將在 2022 年 IEEE 安全與隱私研討會(huì)上發(fā)表，他們的論文是由英國(guó)伯明翰大學(xué)和薩里大學(xué)的研究員發(fā)現(xiàn)的。

研究人員在 2020 年 10 月向蘋果公司發(fā)出了第一個(gè)警報(bào)，2021 年 5 月向 Visa 公司發(fā)出了警報(bào)。在給 ZDNet 的一份聲明中，Visa 表示這種類型的攻擊并不新鮮，客戶無(wú)需擔(dān)心。

該信用卡公司寫道：“非接觸式欺詐計(jì)劃的變種已經(jīng)在實(shí)驗(yàn)室環(huán)境中研究了十多年，事實(shí)證明在現(xiàn)實(shí)世界中大規(guī)模執(zhí)行是不切實(shí)際的。Visa非常重視所有的安全威脅，我們孜孜不倦地加強(qiáng)整個(gè)生態(tài)系統(tǒng)的支付安全”。