英国的一个研究团队最近发现了一个与Visa卡和ApplePay相关的安全问题,可能允许攻击者绕过锁屏进行欺诈性支付。根据研究,当Visa卡在iPhone上设置为Apple的ExpressTransit模式时,该漏洞可能允许攻击者绕过iPhone的锁定屏幕并在没有密码的情况下进行非接触式支付。Apple的ExpressTransit模型允许用户使用信用卡、借记卡或交通卡快速支付交通费用,而无需解锁设备。研究人员表示,该漏洞仅影响存储在钱包应用程序中的Visa卡。这是由交通闸口或十字转门上使用的独特代码引起的,这些代码会向iPhone发出解锁ApplePay的信号。通过使用普通的无线电设备,研究人员能够进行攻击,让iPhone相信它在交通闸门前。概念验证攻击涉及支持ExpressTransit的iPhone向智能支付读卡器进行欺诈性支付。类似的攻击可能已被黑客利用,通过广播唯一代码和修改一系列变量。然而,研究人员指出,这种攻击似乎无法大规模实施。即使攻击者得逞,银行和金融机构也有其他机制通过检测可疑交易来阻止欺诈。这篇论文由Andreea-InaRadu、TomChothia、ChristopherJ.P.Newton、IoanaBoureanu和LiqunChen撰写,将在2022年IEEE安全与隐私研讨会上发表,由英国伯明翰大学和萨里大学赞助。研究人员发现。研究人员分别于2020年10月和2021年5月向Apple和Visa发出了第一批警报。Visa在给ZDNet的一份声明中表示,此类攻击并不新鲜,客户无需担心。“非接触式欺诈计划的变体已经在实验室环境中研究了十多年,并被证明在现实世界中大规模实施是不切实际的,”信用卡公司写道。Visa非常重视所有安全威胁,我们孜孜不倦地努力加强整个生态系统的支付安全。”
