作者wattswatts (挖哩)
看板MobileComm
标题[新闻]研究:Apple Pay含有Visa信用卡可被盗刷的安全
时间Sun May 26 12:29:22 2024
研究人员先後将漏洞通报苹果及Visa,但两家业者对於谁该处理漏洞并无共识
新闻
研究:Apple Pay含有Visa信用卡可被盗刷的安全漏洞
研究人员先後将漏洞通报苹果及Visa,但两家业者对於谁该处理漏洞并无共识
文/陈晓莉 | 2021-10-01发表
一群安全研究人员本周揭露了Apple Pay的安全漏洞,指称当启用Express Transit/Travel
功能时,骇客即可绕过苹果的安全机制,盗刷使用者的Visa信用卡,然而,苹果却说这是Vi
sa系统的问题。
Apple Pay为苹果iOS内建的支付机制,使用者可於Apple Pay中存放各种信用卡,执行支付
时必须透过指纹、Face ID或PIN码进行确认,不过,苹果在2019年於Apple Pay中新增了Exp
ress Transit功能,在使用者不必与之互动、甚至在不必解锁手机的状况下就能进行支付,
对於要快速通过查票口是个很方便的功能。
然而,研究人员却发现他们可以利用Express Transit绕过Apple Pay的萤幕锁住功能,并以
使用者所指定的Visa信用卡进行支付,完全不需要使用者的授权。
研究人员采取的是中间人重放与中继攻击,他们是透过一个Reader模拟器Proxmark与受害者
的iPhone沟通,再以一支启用NFC功能的Android手机充当卡片模拟器,以与EMV支付设备通
讯,为了建立Proxmark与卡片模拟器之间的连结,研究人员先将Proxmark以USB连至一台笔
电,再以笔电将讯息透过Wi-Fi连至卡片模拟器,或者Proxmark也能直接透过蓝牙来连结卡
片模拟器。
在一段展示影片中,研究人员成功地从一支锁住的iPhone上盗刷了1,000欧元。
有趣的是,这群研究人员分别在去年10月与今年5月,将此一漏洞回报给苹果及Visa,但这
两家业者对於谁该对此一漏洞负责却未达到共识。
BBC取得了苹果与Visa的回应,其中,苹果认为这是Visa系统的问题,Visa亦明白表示,非
接触支付的诈骗手法早在10年前就出现在实验室中,也已被证明它要在实体世界中执行大规
模的攻击是不可行的。
根据双方的说法,行动支付或非接触支付的交易过程中有着重重的安全机制,再不济Visa也
提供了持卡人零责任政策,不向被盗刷的受害者收款。
换言之,苹果与Visa目前似乎不打算修补该漏洞,不过,研究人员建议使用者最好不要指定
Visa信用卡作为Express Transit的支付工具,以保障自身的权益。
https://www.ithome.com.tw/news/147013
备注 非果粉 : Who cares
苹果用户这麽多 资安问题还能推皮球
果粉 : Who cares me too 潮就好
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 59.127.17.214 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MobileComm/M.1716697764.A.098.html
※ 编辑: wattswatts (59.127.17.214 台湾), 05/26/2024 12:29:50
1F:嘘 ianqoo2000 : 202105/26 12:30
News – January 2023
Our Apple-Visa attack is still LIVE (!!!), sadly. See us demo-ing it very much i
n real-life, on stage, here: over-the-limit-payment, live, from locked iPhone
https://youtu.be/nMIMxLbSE-4
※ 编辑: wattswatts (59.127.17.214 台湾), 05/26/2024 12:37:16
2F:→ a3619453 : 看起来很像快速交通卡的功能,这样算漏洞吗? 05/26 12:38
4F:→ a3619453 : 所以问题出在於为什麽收款方的系统可以被模拟吧?05/26 12:43
5F:嘘 j0958322080 : 202305/26 12:43
6F:→ a3619453 : 我圈起来的这段不觉得越念越好笑吗?05/26 12:44
7F:→ a3619453 : 你把功能当作漏洞到底?05/26 12:44
8F:嘘 a3619453 : 然後20日以上旧文心得至少250字,不过现在没板主05/26 12:49
9F:推 ltytw : 懒人包就是谁把卡号存在里面谁就白痴?05/26 13:05
10F:→ ltytw : 等等 我走错板了 会被水桶吗?05/26 13:05
11F:→ manbow77 : 刷信用卡不是早就统一都改成一定要解锁了吗05/26 13:15
12F:→ manbow77 : iPhone自己弄出来的类票证联名卡功能?05/26 13:23
14F:→ win0330 : iphone交通卡功能不用解锁 不是只有高捷有支援app05/26 13:29
15F:→ win0330 : le pay吗?大部分的人应该用不到这功能吧 05/26 13:29
快速交通卡功能 高捷 桃园机捷 中捷
我最多人坐的北捷 我还在摸索悠游卡中
[情报] 智慧中捷,多元支付最便捷
https://bit.ly/44VNk3m
16F:→ PopeVic : 2楼冷静一点,与其看翻译的文章不如去看一下前面的05/26 13:35
17F:→ PopeVic : YT 影片,这确实是个漏洞,关键就在於手机与卡机05/26 13:35
18F:→ PopeVic : 之间传递的讯息被中间人窜改後重放,让卡机以为交05/26 13:35
19F:→ PopeVic : 易是经过生物辨识验证的一般交易,但手机以为是快 05/26 13:35
20F:→ PopeVic : 速交通交易所以才不需要解锁 05/26 13:35
21F:嘘 PopeVic : 不过还是想嘘备注在地图炮什麽??05/26 13:37
22F:推 Stupidog5566: 所以有灾情传出了没?05/26 13:43
23F:→ j850806 : 等等几家农场文就要来抄了05/26 13:48
24F:推 jdcbest : 收visa的钱对贫果更有利益。贫果在乎的是有无赚钱胜 05/26 14:03
25F:→ jdcbest : 过果粉的个资财产安不安全05/26 14:03
26F:→ raidcrash : 简单来说就是利用难度高 所以两边都摆烂 碰到再个案05/26 14:13
27F:→ raidcrash : 处理吧 是说之前在绑信用卡时有听到银行说因为行动05/26 14:15
28F:→ raidcrash : 支付在消费时已经有经过认证了 所以被盗刷会没办法05/26 14:15
29F:→ raidcrash : 适用零责任政策? 就像有3D认证被盗刷银行不会认一样05/26 14:16
30F:推 MrCool5566 : 肯定是 visa 问题05/26 14:20
31F:推 a123444556 : 反正裹粉会说一定不是apple的问题 通通推给visa就好05/26 14:22
32F:推 eva00ave : 毕竟苹果05/26 14:44
33F:推 aegis43210 : 反正果粉不在意05/26 14:50
※ 编辑: wattswatts (59.127.17.214 台湾), 05/26/2024 15:30:38
34F:推 rei196 : iPhone 遇到问题一定是使用者的问题 05/26 15:42
35F:推 dadanyellow : 难得可以嘴苹果 05/26 15:45
36F:嘘 multiView : 请问大家门口的锁可以禁得起何种程度的解锁??????? 05/26 16:20
37F:→ multiView : 你又愿意花多少钱把你家门口的锁做多大的升级? why? 05/26 16:20
38F:→ raidcrash : 楼上是在暗示各位给苹果的钱不够多 请多多布施 05/26 16:38
39F:→ raidcrash : 只给这点钱还想要安全性? 05/26 16:39
40F:推 liaoeddie : 台湾的捷运并没有支援快速交通模式,只是能刷卡但还 05/26 16:55
41F:→ liaoeddie : 是要解锁才行 05/26 16:55
42F:推 weltschmerz : 这一定visa的问题啊 看看安卓是不是也能发生一样的 05/26 16:58
43F:→ weltschmerz : 事不就知道了 05/26 16:58
44F:→ spfy : 这种复杂的攻击只要技术验证能过就算了 就算实务上 05/26 17:00
45F:→ spfy : 很难或几乎办不到是另一回事 但这两边都摆烂应该就 05/26 17:01
46F:→ spfy : 真的非常难达成+应用场景超少 所以不急.jpg 05/26 17:02
47F:推 asahi98 : 所以绑完给虚拟卡号也是无用的,照样刷过? 05/26 17:13
48F:→ asahi98 : 理论上有可能连安卓都可以骗 05/26 17:13
49F:推 jickey : 如果Mastercard没问题那… 05/26 19:07
50F:→ manbow77 : 安卓只要刷都是信用卡现在也一定都要透过解锁了 05/26 19:39
51F:→ manbow77 : 包括NFC-SIM信用卡联名卡也改成MobilePay方式了 05/26 19:40
52F:→ manbow77 : 唯一能不需解锁也就剩交通卡部分 支付只能小额付款 05/26 19:43
53F:→ manbow77 : 台湾跟日本都开始有闸门升级成能直接刷信用卡 05/26 19:44
54F:→ manbow77 : 苹果那功能感觉大概也只是过渡用 05/26 19:45
55F:→ aq981334 : 反正VISA能少用就用,跨国汇率那麽差,不如用万事 05/26 21:14
56F:→ aq981334 : 达 05/26 21:14
57F:推 xluds24805 : 果粉:苹果怎麽可能有漏洞,一定是别人的问题 05/26 21:19
58F:→ ShaoRouRou : JCB/Mastercard勒 05/27 00:40
59F:推 jeff85898 : 这跟需不需要解锁无关吧 关键是在於利用不需解锁的 05/27 14:43
60F:→ jeff85898 : 小额付款授权进行窜改 让这个授权变成可以用在大额 05/27 14:43
61F:→ jeff85898 : 消费 05/27 14:43
62F:嘘 wind183 : 文章日期:2021-10-01,你那里还来得及快欧印台G电 05/30 19:25