一群安全研究人員本周披露了Apple Pay的安全漏洞,指稱當激活Express Transit/Travel功能時����,黑客即可繞過蘋果的安全機制,盜刷用戶的Visa信用卡����,然而,蘋果卻說這是Visa系統(tǒng)的問題����。
一群安全研究人員本周披露了Apple Pay的安全漏洞,指稱當激活Express Transit/Travel功能時����,黑客即可繞過蘋果的安全機制����,盜刷用戶的Visa信用卡����,然而����,蘋果卻說這是Visa系統(tǒng)的問題。
Apple Pay為蘋果iOS內(nèi)置的支付機制����,用戶可于Apple Pay中存放各種信用卡,執(zhí)行支付時必須通過指紋����、Face ID或PIN碼進行確認,不過����,蘋果在2019年于Apple Pay中添加了Express Transit功能,在用戶不必與之交互����、甚至在不必解鎖手機的狀況下就能進行支付����,對于要快速通過查票口是個很方便的功能����。
然而,研究人員卻發(fā)現(xiàn)他們可以利用Express Transit繞過Apple Pay的屏幕鎖住功能����,并以用戶所指定的Visa信用卡進行支付,完全不需要用戶的授權(quán)����。
研究人員采取的是中間人重放與中繼攻擊,他們是通過一個Reader模擬器Proxmark與受害者的iPhone溝通����,再以一支激活NFC功能的Android手機充當卡片模擬器,以與EMV支付設備通信����,為了創(chuàng)建Proxmark與卡片模擬器之間的連接,研究人員先將Proxmark以USB連至一臺筆記本,再以筆記本將消息通過Wi-Fi連至卡片模擬器����,或者Proxmark也能直接通過藍牙來連接卡片模擬器。
在一段展示視頻中����,研究人員成功地從一支鎖住的iPhone上盜刷了1,000歐元。
有趣的是����,這群研究人員分別在去年10月與今年5月����,將該漏洞回應給蘋果及Visa,但這兩家企業(yè)對于誰該對該漏洞負責卻未達到共識����。
BBC取得了蘋果與Visa的回應,其中����,蘋果認為這是Visa系統(tǒng)的問題,Visa也明白表示����,非接觸支付的詐騙手法早在10年前就出現(xiàn)在實驗室中����,也已被證明它要在實體世界中執(zhí)行大規(guī)模的攻擊是不可行的����。
根據(jù)雙方的說法,移動支付或非接觸支付的交易過程中有著重重的安全機制����,再不濟Visa也提供了持卡人零責任政策,不向被盜刷的受害者收款����。
換言之,蘋果與Visa目前似乎不打算修補該漏洞����,不過,研究人員建議用戶最好不要指定Visa信用卡作為Express Transit的支付工具����,以保障自身的權(quán)益。
立即登錄����,閱讀全文
閩公網(wǎng)安備 35010202001226號
