英国的一个研究小组近日发现了和 Visa 卡和 Apple Pay 相关的安全问题,可能导致攻击者绕过锁屏并进行欺诈性支付.根据研究,当Visa卡在iPhone上设置为苹果的Express Transit模式时,这一缺陷可能会让攻击者绕过iPhone的锁屏,进行无密码的非接触式支付。
苹果的快递中转模式允许用户在不解锁设备的情况下,使用信用卡、借记卡或交通卡快速支付交通费用。研究人员表示,该漏洞只会影响存储在钱包应用程序中的Visa卡。它是由交通闸门或十字转门使用的独特代码引起的,这些代码会向iPhone发出信号,以解锁Apple Pay。
使用普通的无线电设备,研究人员可以攻击并诱导iPhone相信它在一个交通大门前。这种概念验证攻击涉及一台启用了Express Transit的iPhone向智能支付阅读器进行欺诈性支付。类似的攻击可能已经被黑客利用,通过广播独特的代码和修改一系列变量。
然而,研究人员指出,这种攻击在大范围内似乎并不实用。即使攻击者能够成功,银行和金融机构也有其他机制通过检测可疑交易来阻止欺诈。
本文作者为Andreea-Ina Radu、Tom Chothia、Christopher J.P. Newton、Ioana Boureanu和陈丽群。这篇论文将在2022年IEEE安全和隐私研讨会上发表。他们的论文是由英国伯明翰大学和萨里大学的研究人员发现的。
研究人员在2020年10月向苹果发出了第一次警报,在2021年5月向Visa发出了警报。在给ZDNet的一份声明中,Visa表示,这种类型的攻击并不新鲜,客户不必担心。
“非接触式欺诈方案的变体已经在实验室环境中研究了十多年,事实证明,在现实世界中大规模实施它们是不切实际的,”这家信用卡公司写道。Visa非常重视所有的安全威胁,我们不懈地努力加强整个生态系统的支付安全”。
