英國的一個研究小組近日發現了和 Visa 卡和 Apple Pay 相關的安全問題,可能導致攻擊者繞過鎖屏並進行欺詐性支付。根據該研究,當 Visa 卡在 iPhone 上被設置為蘋果的 Express Transit 模式時,該缺陷可能允許攻擊者繞過 iPhone 鎖屏,在沒有密碼的情況下進行非接觸式支付。
蘋果的 Express Transit 模式允許用戶在不解鎖設備的情況下,使用信用卡、借記卡或交通卡快速支付交通費用。研究人員說,該漏洞隻影響存儲在 Wallet 應用中的 Visa 卡。它是由交通門或交通轉門使用的獨特代碼造成的,這些代碼向 iPhone 發出信號,以解鎖 Apple Pay。
通過使用普通的無線電設備,研究人員能夠進行攻擊,誘使 iPhone 相信它是在一個交通門前。這個概念驗證攻擊涉及一個啟用了 Express Transit 的 iPhone,向一個智能支付閱讀器進行欺詐性支付。類似的攻擊可能已經被黑客利用,通過廣播獨特的代碼和修改一系列的變量。
然而,研究人員指出,這種攻擊在大範圍內似乎並不實用。即使攻擊者能夠成功,銀行和金融機構也有其他機制,通過檢測可疑交易來阻止欺詐。
論文的作者是 Andreea-Ina Radu、Tom Chothia、Christopher J.P. Newton、Ioana Boureanu 和 Liqun Chen,該論文將在 2022 年 IEEE 安全與隱私研討會上發表,他們的論文是由英國伯明翰大學和薩里大學的研究員發現的。
研究人員在 2020 年 10 月向蘋果公司發出了第一個警報,2021 年 5 月向 Visa 公司發出了警報。在給 ZDNet 的一份聲明中,Visa 表示這種類型的攻擊並不新鮮,客戶無需擔心。
該信用卡公司寫道:“非接觸式欺詐計劃的變種已經在實驗室環境中研究了十多年,事實證明在現實世界中大規模執行是不切實際的。Visa非常重視所有的安全威脅,我們孜孜不倦地加強整個生態系統的支付安全”。