研究人员先后将漏洞通报苹果及Visa,但两家业者对于谁该处理漏洞并无共识
新闻
研究:Apple Pay含有Visa信用卡可被盗刷的安全漏洞
研究人员先后将漏洞通报苹果及Visa,但两家业者对于谁该处理漏洞并无共识
文/陈晓莉 | 2021-10-01发表
一群安全研究人员本周揭露了Apple Pay的安全漏洞,指称当启用Express Transit/Travel
功能时,骇客即可绕过苹果的安全机制,盗刷使用者的Visa信用卡,然而,苹果却说这是Vi
sa系统的问题。
Apple Pay为苹果iOS内建的支付机制,使用者可于Apple Pay中存放各种信用卡,执行支付
时必须透过指纹、Face ID或PIN码进行确认,不过,苹果在2019年于Apple Pay中新增了Exp
ress Transit功能,在使用者不必与之互动、甚至在不必解锁手机的状况下就能进行支付,
对于要快速通过查票口是个很方便的功能。
然而,研究人员却发现他们可以利用Express Transit绕过Apple Pay的萤幕锁住功能,并以
使用者所指定的Visa信用卡进行支付,完全不需要使用者的授权。
研究人员采取的是中间人重放与中继攻击,他们是透过一个Reader模拟器Proxmark与受害者
的iPhone沟通,再以一支启用NFC功能的Android手机充当卡片模拟器,以与EMV支付设备通
讯,为了建立Proxmark与卡片模拟器之间的连结,研究人员先将Proxmark以USB连至一台笔
电,再以笔电将讯息透过Wi-Fi连至卡片模拟器,或者Proxmark也能直接透过蓝牙来连结卡
片模拟器。
在一段展示影片中,研究人员成功地从一支锁住的iPhone上盗刷了1,000欧元。
有趣的是,这群研究人员分别在去年10月与今年5月,将此一漏洞回报给苹果及Visa,但这
两家业者对于谁该对此一漏洞负责却未达到共识。
BBC取得了苹果与Visa的回应,其中,苹果认为这是Visa系统的问题,Visa亦明白表示,非
接触支付的诈骗手法早在10年前就出现在实验室中,也已被证明它要在实体世界中执行大规
模的攻击是不可行的。
根据双方的说法,行动支付或非接触支付的交易过程中有着重重的安全机制,再不济Visa也
提供了持卡人零责任政策,不向被盗刷的受害者收款。
换言之,苹果与Visa目前似乎不打算修补该漏洞,不过,研究人员建议使用者最好不要指定
Visa信用卡作为Express Transit的支付工具,以保障自身的权益。
https://www.ithome.com.tw/news/147013
备注 非果粉 : Who cares
苹果用户这么多 资安问题还能推皮球
果粉 : Who cares me too 潮就好