10月1日,网络安全研究人员公布了ApplePay中一个未修复的漏洞。iPhone被锁定时,Visa付款也可能被盗。ExpressTravel模式允许iPhone和AppleWatch用户在乘坐公共交通工具时进行快速非接触式支付,无需打开应用程序、唤醒或解锁设备,甚至无需使用面容ID、触控ID或密码身份验证。伯明翰大学和萨里大学的学者表示:“只要攻击者能够接触到被盗的、开机的iPhone,他就可以在受害者不知情的情况下随意使用受害者的Visa付款。攻击者的行为不会被发现商户,后台欺诈检测审核没有拦截我们的支付测试。”ApplePay和Visa系统中的漏洞可以被联合利用,中间人(MitM)重放和中继攻击可以绕过锁屏,向任何EMV阅读器发送支付请求。但是,ApplePay中的Master支付和SamsungPay中的Visa支付不受影响。研究人员表示,Apple和Visa分别在2020年10月和2021年5月收到了该漏洞的警报,并且都承认了该漏洞的严重性,但他们尚未就应该修复该漏洞达成一致。“Visa告诉BBC,这种攻击是‘不切实际的’,“我们已经在实验环境中研究非接触式欺诈及其变体十多年了。事实证明,大规模实施非接触式欺诈在现实中是不切实际的。苹果发言人告诉BBC:“这是Visa系统的问题,但Visa认为,鉴于多层安全措施,这种类型的欺诈实际上不会发生。》参考来源:https://thehackernews.com/2021/10/apple-pay-can-be-abused-to-make.html
