研究人員先後將漏洞通報蘋果及Visa,但兩家業者對於誰該處理漏洞並無共識
新聞
研究:Apple Pay含有Visa信用卡可被盜刷的安全漏洞
研究人員先後將漏洞通報蘋果及Visa,但兩家業者對於誰該處理漏洞並無共識
文/陳曉莉 | 2021-10-01發表
一群安全研究人員本周揭露了Apple Pay的安全漏洞,指稱當啟用Express Transit/Travel
功能時,駭客即可繞過蘋果的安全機制,盜刷使用者的Visa信用卡,然而,蘋果卻說這是Vi
sa系統的問題。
Apple Pay為蘋果iOS內建的支付機制,使用者可於Apple Pay中存放各種信用卡,執行支付
時必須透過指紋、Face ID或PIN碼進行確認,不過,蘋果在2019年於Apple Pay中新增了Exp
ress Transit功能,在使用者不必與之互動、甚至在不必解鎖手機的狀況下就能進行支付,
對於要快速通過查票口是個很方便的功能。
然而,研究人員卻發現他們可以利用Express Transit繞過Apple Pay的螢幕鎖住功能,並以
使用者所指定的Visa信用卡進行支付,完全不需要使用者的授權。
研究人員採取的是中間人重放與中繼攻擊,他們是透過一個Reader模擬器Proxmark與受害者
的iPhone溝通,再以一支啟用NFC功能的Android手機充當卡片模擬器,以與EMV支付設備通
訊,為了建立Proxmark與卡片模擬器之間的連結,研究人員先將Proxmark以USB連至一臺筆
電,再以筆電將訊息透過Wi-Fi連至卡片模擬器,或者Proxmark也能直接透過藍牙來連結卡
片模擬器。
在一段展示影片中,研究人員成功地從一支鎖住的iPhone上盜刷了1,000歐元。
有趣的是,這群研究人員分別在去年10月與今年5月,將此一漏洞回報給蘋果及Visa,但這
兩家業者對於誰該對此一漏洞負責卻未達到共識。
BBC取得了蘋果與Visa的回應,其中,蘋果認為這是Visa系統的問題,Visa亦明白表示,非
接觸支付的詐騙手法早在10年前就出現在實驗室中,也已被證明它要在實體世界中執行大規
模的攻擊是不可行的。
根據雙方的說法,行動支付或非接觸支付的交易過程中有著重重的安全機制,再不濟Visa也
提供了持卡人零責任政策,不向被盜刷的受害者收款。
換言之,蘋果與Visa目前似乎不打算修補該漏洞,不過,研究人員建議使用者最好不要指定
Visa信用卡作為Express Transit的支付工具,以保障自身的權益。
https://www.ithome.com.tw/news/147013備註 非果粉 : Who cares
蘋果用戶這麼多 資安問題還能推皮球
果粉 : Who cares me too 潮就好
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.127.17.214 (臺灣)※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1716697764.A.098.htmlianqoo20001樓2021 05/26 12:30
News – January 2023
Our Apple-Visa attack is still LIVE (!!!), sadly. See us demo-ing it very much i
n real-life, on stage, here: over-the-limit-payment, live, from locked iPhone
→ a36194532樓看起來很像快速交通卡的功能,這樣算漏洞嗎? 05/26 12:38
a36194533樓 05/26 12:42 → a36194534樓所以問題出在於為什麼收款方的系統可以被模擬吧? 05/26 12:43
j09583220805樓2023 05/26 12:43
→ a36194536樓我圈起來的這段不覺得越念越好笑嗎? 05/26 12:44
→ a36194537樓你把功能當作漏洞到底? 05/26 12:44
a36194538樓然後20日以上舊文心得至少250字,不過現在沒板主 05/26 12:49
ltytw9樓懶人包就是誰把卡號存在裡面誰就白痴? 05/26 13:05
→ ltytw10樓等等 我走錯板了 會被水桶嗎? 05/26 13:05
→ manbow7711樓刷信用卡不是早就統一都改成一定要解鎖了嗎 05/26 13:15
→ manbow7712樓iPhone自己弄出來的類票證聯名卡功能? 05/26 13:23
win033013樓 05/26 13:27 → win033014樓iphone交通卡功能不用解鎖 不是只有高捷有支援app 05/26 13:29
→ win033015樓le pay嗎?大部分的人應該用不到這功能吧 05/26 13:29
快速交通卡功能 高捷 桃園機捷 中捷
我最多人坐的北捷 我還在摸索悠遊卡中
[情報] 智慧中捷,多元支付最便捷
https://www.ptt.cc/bbs/MobilePay/M.1714040997.A.106.html
→ PopeVic16樓2樓冷靜一點,與其看翻譯的文章不如去看一下前面的 05/26 13:35
→ PopeVic17樓YT 影片,這確實是個漏洞,關鍵就在於手機與卡機 05/26 13:35
→ PopeVic18樓之間傳遞的訊息被中間人竄改後重放,讓卡機以為交 05/26 13:35
→ PopeVic19樓易是經過生物辨識驗證的一般交易,但手機以為是快 05/26 13:35
→ PopeVic20樓速交通交易所以才不需要解鎖 05/26 13:35
PopeVic21樓不過還是想噓備註在地圖炮什麼?? 05/26 13:37
Stupidog556622樓所以有災情傳出了沒? 05/26 13:43
→ j85080623樓等等幾家農場文就要來抄了 05/26 13:48
jdcbest24樓收visa的錢對貧果更有利益。貧果在乎的是有無賺錢勝 05/26 14:03
→ jdcbest25樓過果粉的個資財產安不安全 05/26 14:03
→ raidcrash26樓簡單來說就是利用難度高 所以兩邊都擺爛 碰到再個案 05/26 14:13
→ raidcrash27樓處理吧 是說之前在綁信用卡時有聽到銀行說因為行動 05/26 14:15
→ raidcrash28樓支付在消費時已經有經過認證了 所以被盜刷會沒辦法 05/26 14:15
→ raidcrash29樓適用零責任政策? 就像有3D認證被盜刷銀行不會認一樣 05/26 14:16
MrCool556630樓肯定是 visa 問題 05/26 14:20