Apple Pay被爆安全漏洞 可繞過鎖屏進行欺詐性支付

英國的一個研究小組近日發(fā)現(xiàn)了和 Visa 卡和 Apple Pay 相關(guān)的安全問題，可能導(dǎo)致攻擊者繞過鎖屏并進行欺詐性支付。根據(jù)該研究，當(dāng) Visa 卡在 iPhone 上被設(shè)置為蘋果的 Express Transit 模式時，該缺陷可能允許攻擊者繞過 iPhone 鎖屏，在沒有密碼的情況下進行非接觸式支付。

蘋果的 Express Transit 模式允許用戶在不解鎖設(shè)備的情況下，使用信用卡、借記卡或交通卡快速支付交通費用。研究人員說，該漏洞只影響存儲在 Wallet 應(yīng)用中的 Visa 卡。它是由交通門或交通轉(zhuǎn)門使用的獨特代碼造成的，這些代碼向 iPhone 發(fā)出信號，以解鎖 Apple Pay。

通過使用普通的無線電設(shè)備，研究人員能夠進行攻擊，誘使 iPhone 相信它是在一個交通門前。這個概念驗證攻擊涉及一個啟用了 Express Transit 的 iPhone，向一個智能支付閱讀器進行欺詐性支付。類似的攻擊可能已經(jīng)被黑客利用，通過廣播獨特的代碼和修改一系列的變量。

然而，研究人員指出，這種攻擊在大范圍內(nèi)似乎并不實用。即使攻擊者能夠成功，銀行和金融機構(gòu)也有其他機制，通過檢測可疑交易來阻止欺詐。

論文的作者是 Andreea-Ina Radu、Tom Chothia、Christopher J.P. Newton、Ioana Boureanu 和 Liqun Chen，該論文將在 2022 年 IEEE 安全與隱私研討會上發(fā)表，他們的論文是由英國伯明翰大學(xué)和薩里大學(xué)的研究員發(fā)現(xiàn)的。

研究人員在 2020 年 10 月向蘋果公司發(fā)出了第一個警報，2021 年 5 月向 Visa 公司發(fā)出了警報。在給 ZDNet 的一份聲明中，Visa 表示這種類型的攻擊并不新鮮，客戶無需擔(dān)心。

該信用卡公司寫道：“非接觸式欺詐計劃的變種已經(jīng)在實驗室環(huán)境中研究了十多年，事實證明在現(xiàn)實世界中大規(guī)模執(zhí)行是不切實際的。Visa非常重視所有的安全威脅，我們孜孜不倦地加強整個生態(tài)系統(tǒng)的支付安全”。