作者wattswatts (挖哩)
看板MobilePay
標題[新聞] 研究:Apple Pay含有Visa信用卡可被盜刷
時間Sun May 26 12:17:08 2024
新聞
研究:Apple Pay含有Visa信用卡可被盜刷的安全漏洞
研究人員先後將漏洞通報蘋果及Visa,但兩家業者對於誰該處理漏洞並無共識
文/陳曉莉 | 2021-10-01
一群安全研究人員本周揭露了Apple Pay的安全漏洞,指稱當啟用Express Transit/Travel
功能時,駭客即可繞過蘋果的安全機制,盜刷使用者的Visa信用卡,然而,蘋果卻說這是Vi
sa系統的問題。
Apple Pay為蘋果iOS內建的支付機制,使用者可於Apple Pay中存放各種信用卡,執行支付
時必須透過指紋、Face ID或PIN碼進行確認,不過,蘋果在2019年於Apple Pay中新增了Exp
ress Transit功能,在使用者不必與之互動、甚至在不必解鎖手機的狀況下就能進行支付,
對於要快速通過查票口是個很方便的功能。
然而,研究人員卻發現他們可以利用Express Transit繞過Apple Pay的螢幕鎖住功能,並以
使用者所指定的Visa信用卡進行支付,完全不需要使用者的授權。
研究人員採取的是中間人重放與中繼攻擊,他們是透過一個Reader模擬器Proxmark與受害者
的iPhone溝通,再以一支啟用NFC功能的Android手機充當卡片模擬器,以與EMV支付設備通
訊,為了建立Proxmark與卡片模擬器之間的連結,研究人員先將Proxmark以USB連至一臺筆
電,再以筆電將訊息透過Wi-Fi連至卡片模擬器,或者Proxmark也能直接透過藍牙來連結卡
片模擬器。
在一段展示影片中,研究人員成功地從一支鎖住的iPhone上盜刷了1,000歐元。
有趣的是,這群研究人員分別在去年10月與今年5月,將此一漏洞回報給蘋果及Visa,但這
兩家業者對於誰該對此一漏洞負責卻未達到共識。
BBC取得了蘋果與Visa的回應,其中,蘋果認為這是Visa系統的問題,Visa亦明白表示,非
接觸支付的詐騙手法早在10年前就出現在實驗室中,也已被證明它要在實體世界中執行大規
模的攻擊是不可行的。
根據雙方的說法,行動支付或非接觸支付的交易過程中有著重重的安全機制,再不濟Visa也
提供了持卡人零責任政策,不向被盜刷的受害者收款。
換言之,蘋果與Visa目前似乎不打算修補該漏洞,不過,研究人員建議使用者最好不要指定
Visa信用卡作為Express Transit的支付工具,以保障自身的權益。
https://www.ithome.com.tw/news/147013
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.127.17.214 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/MobilePay/M.1716697030.A.3AB.html
推 jdcbest: 能賺錢才是蘋果着重的,安全性就退一邊去吧05/26 13:03
推 brokeback: 果粉表示悲憤05/26 13:57
推 now99: 2021?05/26 14:35
噓 ackes: 2021...05/26 14:38
推 Kroner: 蔓越莓益生菌推薦dcard 05/27 10:26噓 Weasley40: 2021?05/26 14:45
News – January 2023
Our Apple-Visa attack is still LIVE (!!!), sadly. See us demo-ing it very much i
n real-life, on stage, here: over-the-limit-payment, live, from locked iPhone
https://youtu.be/nMIMxLbSE-4
※ 編輯: wattswatts (59.127.17.214 臺灣), 05/26/2024 15:09:07
→ hms5232: 在台灣 讓你延後24h拿到商品 05/26 15:42
推 MikeLow: 現在2024了所以apple或visa是誰有處理好了嘛www 05/26 17:44
推 Chricey: 鋅功效 05/30 13:46噓 JH10: 又沒直接證據證明,蘋果產品拿可能有問題 05/26 19:39
→ luther0583: 實驗室中技術上可行,但實際上可能很難執行 05/27 09:41
→ catuncle1: 標準的黑蘋文 05/27 10:26
推 Kroner: 鋅的作用 05/27 10:26 推 C4F6: 怎麼不是黑visa 文 05/27 10:37
→ dantes1013: 表面都說防詐防盜刷,但實際動作卻是... 05/27 17:50
噓 JoeArtanis: 真的標準黑蘋文兼騙流量 05/30 13:46
推 Kroner: uc2功效 05/30 13:46