Apple Pay、Visa 漏洞允许黑客入侵非接触式支付

 网喵   2021-10-28 12:57     0 条评论

英国研究人员发现了Apple Pay和Visa的缺陷——解锁后的苹果手机可能会进行未经授权的非接触式支付。

周四,伯明翰大学和萨里大学的安全研究人员发布了一篇论文,详细介绍了黑客如何绕过苹果手机上的 Apple Pay 锁定屏幕,并将 Visa 卡设置为快速传输模式。

快捷模式旨在将支付卡与使用Apple Pay的设备上的旅行卡整合在一起。

根据该论文显示,攻击者可以绕过非接触式限制,在锁定的iPhone上允许无限EMV非接触式交易。为了证明自己的观点,研究人员成功地实施了一次攻击,从他们的个人账户中“窃取”了1,000英镑(约合1,300美元)。

非共享的责任

根据研究人员的说法,攻击者只需要一个开机的iPhone,因为不需要商家的帮助。这次攻击可能是由于苹果支付和Visa系统的缺陷导致的。

有趣的是,研究人员已经通知了iPhone和Visa关于这一缺陷的问题,但他们都没有决定修复这个问题。

该漏洞的细节已向iPhone(2020年10月)和Visa(2021年5月)披露。双方都承认这一漏洞的严重性。研究人员在论文中写道。

这篇文章的作者建议用户不要在Apple Pay中使用Visa作为交通卡,至少在Visa和iPhone同意修复他们系统中的漏洞之前。

它是如何工作的

为了简单起见,攻击者需要设置一个RFID阅读器,诱骗目标手机将其作为检票口。与此同时,研究人员在一个固定的安卓设备上运行一个脚本,将苹果手机的信号发送到一个非接触式支付终端。

然而,任何类型的设备都可以执行这项任务,不仅仅是Android手机。

因为苹果手机认为它处理了一个检票屏障,所以无需解锁手机就可以进行交易。研究人员用这一功能,欺骗设备,让它认为付款是经过授权的,从而绕过支付规模的限制。

研究人员表示,他们对苹果7手机和苹果12手机进行了测试,结果表明每种型号的iPhone手机都存在这一缺陷。

报告的作者指出,完整的工作将在2022年IEEE安全与隐私研讨会上发表。

这几周对苹果手机来说是艰难的。互联网安全监督组织“公民实验室”最近宣布了一个被称为“FORCEDENTRY”的苹果软件严重漏洞,对苹果的移动设备、笔记本电脑和手表有效。

上周,一位研究人员报告称,苹果的iOS 14存在四个严重的零日安全漏洞。这些漏洞影响了iOS的数据,使作案者能够访问应用程序、浏览历史和个人健康数据。(本文出自SCA安全通信联盟,转载请注明出处。)

本文地址:https://cn-mobi.com/?p=4985
版权声明:本文为原创文章,版权归 网喵 所有,欢迎分享本文,转载请保留出处!

 发表评论


表情