英国的一个研究小组最近发现了和 Visa 卡和 Apple Pay 相关安全问题可能导致攻击者绕过锁定屏幕并进行欺诈性支付。根据研究,当 Visa 卡在 iPhone 设置在苹果上的 Express Transit 模式可能允许攻击者绕过 iPhone 锁屏,非接触式支付无密码。
苹果的 Express Transit 模式允许用户使用信用卡、借记卡或交通卡快速支付交通费用,而不解锁设备。研究人员表示,这个漏洞只影响 的存储Wallet 在应用中Visa 卡。它是由交通门或交通门使用的独特代码引起的,这些代码是 iPhone 发出解锁 的信号Apple Pay。
研究人员可以通过使用普通的无线电设备进行攻击来诱导 iPhone 相信它在一个交通门前。这种概念验证攻击涉及一个使用 Express Transit 的 iPhone,通过广播独特的代码和修改一系列变量,向智能支付阅读器进行欺诈性支付。
然而,研究人员指出,这种攻击在大范围内似乎并不实用。即使攻击者成功,银行和金融机构也有其他机制通过检测可疑交易来防止欺诈。
作者是 Andreea-Ina Radu、Tom Chothia、Christopher J.P. Newton、Ioana Boureanu 和 Liqun Chen, 2022年 IEEE 英国伯明翰大学和萨里大学的研究人员在安全与隐私研讨会上发表了论文。
研究人员在 2020 年 10 月向苹果公司发出了第一个警报,2021 年 5 月向 Visa 公司发出警报。ZDNet 在一份声明中,Visa 说这种攻击并不新鲜,客户也不用担心。
信用卡公司写道:“在实验室环境中研究了十多年的非接触式欺诈计划变种,事实证明,在现实世界中大规模实施是不现实的。Visa我们非常重视所有的安全威胁,不懈地加强整个生态系统的支付安全”。