[新聞]研究：Apple Pay含有Visa信用卡可被盜刷的安全

作者wattswatts (挖哩)

看板MobileComm

標題[新聞]研究：Apple Pay含有Visa信用卡可被盜刷的安全

時間Sun May 26 12:29:22 2024

研究人員先後將漏洞通報蘋果及Visa，但兩家業者對於誰該處理漏洞並無共識新聞研究：Apple Pay含有Visa信用卡可被盜刷的安全漏洞研究人員先後將漏洞通報蘋果及Visa，但兩家業者對於誰該處理漏洞並無共識文/陳曉莉 | 2021-10-01發表一群安全研究人員本周揭露了Apple Pay的安全漏洞，指稱當啟用Express Transit/Travel 功能時，駭客即可繞過蘋果的安全機制，盜刷使用者的Visa信用卡，然而，蘋果卻說這是Vi sa系統的問題。 Apple Pay為蘋果iOS內建的支付機制，使用者可於Apple Pay中存放各種信用卡，執行支付時必須透過指紋、Face ID或PIN碼進行確認，不過，蘋果在2019年於Apple Pay中新增了Exp ress Transit功能，在使用者不必與之互動、甚至在不必解鎖手機的狀況下就能進行支付，對於要快速通過查票口是個很方便的功能。然而，研究人員卻發現他們可以利用Express Transit繞過Apple Pay的螢幕鎖住功能，並以使用者所指定的Visa信用卡進行支付，完全不需要使用者的授權。研究人員採取的是中間人重放與中繼攻擊，他們是透過一個Reader模擬器Proxmark與受害者的iPhone溝通，再以一支啟用NFC功能的Android手機充當卡片模擬器，以與EMV支付設備通訊，為了建立Proxmark與卡片模擬器之間的連結，研究人員先將Proxmark以USB連至一臺筆電，再以筆電將訊息透過Wi-Fi連至卡片模擬器，或者Proxmark也能直接透過藍牙來連結卡片模擬器。在一段展示影片中，研究人員成功地從一支鎖住的iPhone上盜刷了1,000歐元。有趣的是，這群研究人員分別在去年10月與今年5月，將此一漏洞回報給蘋果及Visa，但這兩家業者對於誰該對此一漏洞負責卻未達到共識。 BBC取得了蘋果與Visa的回應，其中，蘋果認為這是Visa系統的問題，Visa亦明白表示，非接觸支付的詐騙手法早在10年前就出現在實驗室中，也已被證明它要在實體世界中執行大規模的攻擊是不可行的。根據雙方的說法，行動支付或非接觸支付的交易過程中有著重重的安全機制，再不濟Visa也提供了持卡人零責任政策，不向被盜刷的受害者收款。換言之，蘋果與Visa目前似乎不打算修補該漏洞，不過，研究人員建議使用者最好不要指定 Visa信用卡作為Express Transit的支付工具，以保障自身的權益。 https://www.ithome.com.tw/news/147013 備註非果粉 : Who cares 蘋果用戶這麼多資安問題還能推皮球果粉 : Who cares me too 潮就好 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.127.17.214 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1716697764.A.098.html ※ 編輯: wattswatts (59.127.17.214 臺灣), 05/26/2024 12:29:50

噓 ianqoo2000 : 202105/26 12:30

News – January 2023 Our Apple-Visa attack is still LIVE (!!!), sadly. See us demo-ing it very much i n real-life, on stage, here: over-the-limit-payment, live, from locked iPhone https://youtu.be/nMIMxLbSE-4

※ 編輯: wattswatts (59.127.17.214 臺灣), 05/26/2024 12:37:16

→ a3619453 : 看起來很像快速交通卡的功能，這樣算漏洞嗎? 05/26 12:38

推 a3619453 : https://i.imgur.com/4hwsi4O.png05/26 12:42

→ a3619453 : 所以問題出在於為什麼收款方的系統可以被模擬吧?05/26 12:43

噓 j0958322080 : 202305/26 12:43

→ a3619453 : 我圈起來的這段不覺得越念越好笑嗎?05/26 12:44

→ a3619453 : 你把功能當作漏洞到底?05/26 12:44

噓 a3619453 : 然後20日以上舊文心得至少250字，不過現在沒板主05/26 12:49

推 ltytw : 懶人包就是誰把卡號存在裡面誰就白痴？05/26 13:05

→ ltytw : 等等我走錯板了會被水桶嗎？05/26 13:05

→ manbow77 : 刷信用卡不是早就統一都改成一定要解鎖了嗎05/26 13:15

→ manbow77 : iPhone自己弄出來的類票證聯名卡功能?05/26 13:23

推 win0330 : https://i.imgur.com/IBXl6Mi.jpeg 05/26 13:27

→ win0330 : iphone交通卡功能不用解鎖不是只有高捷有支援app05/26 13:29

→ win0330 : le pay嗎？大部分的人應該用不到這功能吧 05/26 13:29

快速交通卡功能高捷桃園機捷中捷我最多人坐的北捷我還在摸索悠遊卡中 [情報] 智慧中捷，多元支付最便捷 https://bit.ly/44VNk3m

→ PopeVic : 2樓冷靜一點，與其看翻譯的文章不如去看一下前面的05/26 13:35

→ PopeVic : YT 影片，這確實是個漏洞，關鍵就在於手機與卡機05/26 13:35

→ PopeVic : 之間傳遞的訊息被中間人竄改後重放，讓卡機以為交05/26 13:35

→ PopeVic : 易是經過生物辨識驗證的一般交易，但手機以為是快 05/26 13:35

→ PopeVic : 速交通交易所以才不需要解鎖 05/26 13:35

噓 PopeVic : 不過還是想噓備註在地圖炮什麼？？05/26 13:37

推 Stupidog5566: 所以有災情傳出了沒？05/26 13:43

→ j850806 : 等等幾家農場文就要來抄了05/26 13:48

推 jdcbest : 收visa的錢對貧果更有利益。貧果在乎的是有無賺錢勝 05/26 14:03

→ jdcbest : 過果粉的個資財產安不安全05/26 14:03

→ raidcrash : 簡單來說就是利用難度高所以兩邊都擺爛碰到再個案05/26 14:13

→ raidcrash : 處理吧是說之前在綁信用卡時有聽到銀行說因為行動05/26 14:15

→ raidcrash : 支付在消費時已經有經過認證了所以被盜刷會沒辦法05/26 14:15

→ raidcrash : 適用零責任政策? 就像有3D認證被盜刷銀行不會認一樣05/26 14:16

推 MrCool5566 : 肯定是 visa 問題05/26 14:20

推 a123444556 : 反正裹粉會說一定不是apple的問題通通推給visa就好05/26 14:22

推 eva00ave : 畢竟蘋果05/26 14:44

推 aegis43210 : 反正果粉不在意05/26 14:50

※ 編輯: wattswatts (59.127.17.214 臺灣), 05/26/2024 15:30:38

推 rei196 : iPhone 遇到問題一定是使用者的問題 05/26 15:42

推 dadanyellow : 難得可以嘴蘋果 05/26 15:45

噓 multiView : 請問大家門口的鎖可以禁得起何種程度的解鎖??????? 05/26 16:20

→ multiView : 你又願意花多少錢把你家門口的鎖做多大的升級? why? 05/26 16:20

→ raidcrash : 樓上是在暗示各位給蘋果的錢不夠多請多多佈施 05/26 16:38

→ raidcrash : 只給這點錢還想要安全性? 05/26 16:39

推 liaoeddie : 台灣的捷運並沒有支援快速交通模式，只是能刷卡但還 05/26 16:55

→ liaoeddie : 是要解鎖才行 05/26 16:55

推 weltschmerz : 這一定visa的問題啊看看安卓是不是也能發生一樣的 05/26 16:58

→ weltschmerz : 事不就知道了 05/26 16:58

→ spfy : 這種複雜的攻擊只要技術驗證能過就算了就算實務上 05/26 17:00

→ spfy : 很難或幾乎辦不到是另一回事但這兩邊都擺爛應該就 05/26 17:01

→ spfy : 真的非常難達成+應用場景超少所以不急.jpg 05/26 17:02

推 asahi98 : 所以綁完給虛擬卡號也是無用的，照樣刷過? 05/26 17:13

→ asahi98 : 理論上有可能連安卓都可以騙 05/26 17:13

推 jickey : 如果Mastercard沒問題那… 05/26 19:07

→ manbow77 : 安卓只要刷都是信用卡現在也一定都要透過解鎖了 05/26 19:39

→ manbow77 : 包括NFC-SIM信用卡聯名卡也改成MobilePay方式了 05/26 19:40

→ manbow77 : 唯一能不需解鎖也就剩交通卡部分支付只能小額付款 05/26 19:43

→ manbow77 : 台灣跟日本都開始有閘門升級成能直接刷信用卡 05/26 19:44

→ manbow77 : 蘋果那功能感覺大概也只是過渡用 05/26 19:45

→ aq981334 : 反正VISA能少用就用，跨國匯率那麼差，不如用萬事 05/26 21:14

→ aq981334 : 達 05/26 21:14

推 xluds24805 : 果粉：蘋果怎麼可能有漏洞，一定是別人的問題 05/26 21:19

→ ShaoRouRou : JCB/Mastercard勒 05/27 00:40

推 jeff85898 : 這跟需不需要解鎖無關吧關鍵是在於利用不需解鎖的 05/27 14:43

→ jeff85898 : 小額付款授權進行竄改讓這個授權變成可以用在大額 05/27 14:43

→ jeff85898 : 消費 05/27 14:43

噓 wind183 : 文章日期:2021-10-01,你那裡還來得及快歐印台G電 05/30 19:25