[新聞]研究：Apple Pay含有Visa信用卡可被盜刷的安全漏洞

研究人員先後將漏洞通報蘋果及Visa，但兩家業者對於誰該處理漏洞並無共識 新聞 研究：Apple Pay含有Visa信用卡可被盜刷的安全漏洞 研究人員先後將漏洞通報蘋果及Visa，但兩家業者對於誰該處理漏洞並無共識 文/陳曉莉 | 2021-10-01發表 一群安全研究人員本周揭露了Apple Pay的安全漏洞，指稱當啟用Express Transit/Travel 功能時，駭客即可繞過蘋果的安全機制，盜刷使用者的Visa信用卡，然而，蘋果卻說這是Vi sa系統的問題。 Apple Pay為蘋果iOS內建的支付機制，使用者可於Apple Pay中存放各種信用卡，執行支付 時必須透過指紋、Face ID或PIN碼進行確認，不過，蘋果在2019年於Apple Pay中新增了Exp ress Transit功能，在使用者不必與之互動、甚至在不必解鎖手機的狀況下就能進行支付， 對於要快速通過查票口是個很方便的功能。 然而，研究人員卻發現他們可以利用Express Transit繞過Apple Pay的螢幕鎖住功能，並以 使用者所指定的Visa信用卡進行支付，完全不需要使用者的授權。 研究人員採取的是中間人重放與中繼攻擊，他們是透過一個Reader模擬器Proxmark與受害者 的iPhone溝通，再以一支啟用NFC功能的Android手機充當卡片模擬器，以與EMV支付設備通 訊，為了建立Proxmark與卡片模擬器之間的連結，研究人員先將Proxmark以USB連至一臺筆 電，再以筆電將訊息透過Wi-Fi連至卡片模擬器，或者Proxmark也能直接透過藍牙來連結卡 片模擬器。 在一段展示影片中，研究人員成功地從一支鎖住的iPhone上盜刷了1,000歐元。 有趣的是，這群研究人員分別在去年10月與今年5月，將此一漏洞回報給蘋果及Visa，但這 兩家業者對於誰該對此一漏洞負責卻未達到共識。 BBC取得了蘋果與Visa的回應，其中，蘋果認為這是Visa系統的問題，Visa亦明白表示，非 接觸支付的詐騙手法早在10年前就出現在實驗室中，也已被證明它要在實體世界中執行大規 模的攻擊是不可行的。 根據雙方的說法，行動支付或非接觸支付的交易過程中有著重重的安全機制，再不濟Visa也 提供了持卡人零責任政策，不向被盜刷的受害者收款。 換言之，蘋果與Visa目前似乎不打算修補該漏洞，不過，研究人員建議使用者最好不要指定 Visa信用卡作為Express Transit的支付工具，以保障自身的權益。 https://www.ithome.com.tw/news/147013 備註 非果粉 : Who cares 蘋果用戶這麼多 資安問題還能推皮球 果粉 : Who cares me too 潮就好 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.127.17.214 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1716697764.A.098.html