• 软件:1715
  • 资讯:51853|
  • 收录网站:99985|

IT精英团

研究称Apple Pay漏洞可能导致黑客从iPhone上取钱

研究称Apple Pay漏洞可能导致黑客从iPhone上取钱

浏览次数:
评论次数:
编辑: 叶映荷
信息来源: 金融虎
更新日期: 2021-10-05 08:43:20
摘要

黑客可能会利用iPhone的非接触式支付系统的一个漏洞,从iPhone上赚取数千英镑。萨里大学和伯明翰大学的研究人员发现,与iPhone的Apple Pay服务相关联的Visa卡可能会被利用现成的设备窃取资金。同时,安全专家敦促iPhone用户通过Apple Pay将Visa作为交通卡删除。

  • 资讯详情

来源:IT精英群APP作者:凯文。

据报道,黑客可能会利用iPhone非接触式支付系统的漏洞,从iPhone上赚取数千英镑。萨里大学和伯明翰大学的研究人员发现,与iPhone的Apple Pay服务相关联的Visa卡可能被用来从现成的设备中窃取资金。与此同时,安全专家敦促iPhone用户通过Apple Pay删除作为交通卡的Visa。

研究人员表示,苹果或Visa可以轻松解决这个问题,但双方都拒绝提出修复措施,尽管他们已经受到警告。

这项研究的合著者、伯明翰大学的汤姆乔西亚博士说:“iPhone用户应该检查他们是否设置了用于中转支付的Visa卡,如果是,他们应该禁用它。”

“Apple Pay用户不需要处于危险之中,但在苹果或Visa解决这个问题之前,他们就会处于危险之中。”

在集团进行的测试中,后端欺诈检测检查无法阻止任何付款。研究人员表示,他们与苹果和Visa分享了问题的细节,声称两家公司都承认漏洞的严重性,但尚未就谁应该实施修复达成一致。

许多主要的商业街银行使用Visa借记卡,而巴克莱信用卡则使用公司的信用卡。

黑客利用了iPhone专为公共交通设计的“快速旅行”模式。

使用iPhone进行非接触式支付通常需要用户通过指纹、面部识别或密码确认交易,以防止丢失或被盗的iPhone被用于购买。

而快速出行模式不需要这样的认证,人们只需要在终端上轻点手机就可以支付公交费用。在英国,伦敦的牡蛎公交网络和在几十个城镇运行的First Bus公交系统都使用这个系统。

QQ截图20210930193206.jpg

研究人员利用这一点,通过模仿公共交通终端的信号,让iPhone可以随时付费。然后,支付接收者被“欺骗”接受交易。

与非接触式卡不同,非接触式卡的支付限额为45英镑,Apple Pay交易没有限额,这意味着黑客理论上可以通过盗窃iPhone或将终端偷偷放在包或口袋中的设备上来用完一个人的银行账户或信用卡限额。研究人员用锁着的手机支付了1000英镑。

此漏洞仅适用于苹果支付服务上的Visa卡。它不适用于万事达卡或美国运通,后者通过额外的认证程序阻止此类支付。它也不适用于三星手机上类似的公共交通支付服务,甚至是Visa卡。

iPhone的快速旅行模式必须连接到特定的卡上,并且必须是有意激活的,所以只有打开这个功能并将其连接到Visa卡上的人才会受到影响。

塞里大学网络安全中心的Ioana Boureanu说:“苹果付费用户不必为了可用性而权衡安全性,但他们中的一些人需要。”

伯明翰大学计算机科学学院的Andreea Radu说,这是“一个明显的例子,这意味着让生活变得更容易,适得其反,对安全产生负面影响,并可能给用户带来严重的经济后果”。她说,这种脆弱性很难复制,但高回报意味着罪犯可能有这样做的动机。

Visa发言人表示,这一发现并不意味着人们处于危险之中。公司表示:“与Apple Pay Express Transit连接的Visa卡是安全的,持卡人应继续放心使用。”。

“十几年来,实验室研究了各种非接触式诈骗方案,证明在现实世界中大规模实施是不切实际的。Visa非常重视所有安全威胁,我们不懈努力加强整个生态系统的支付安全。”。“如果发生未经授权的支付,Visa已经明确表示,他们的持卡人受到Visa零责任政策的保护。”

苹果发言人表示:“我们非常重视任何对用户安全的威胁。这是Visa系统的问题,但Visa认为这种诈骗在现实世界中不会发生,因为有多层安全防护。

领导这项研究的伯明翰大学的Andreea Radu博士说:“我们的工作展示了一个明显的例子,这意味着让生活变得更容易,适得其反,对安全产生负面影响,并可能给用户带来严重的经济后果。”

“我们与苹果和Visa的讨论表明,当两个行业的双方都有部分责任时,双方都不愿意承担责任并实施修复,从而使用户受到无限期的攻击。”

这一弱点不会影响其他组合,例如iPhone上的万事达卡或三星支付上的Visa。

所有的研究成果都将在2022年的IEEE安全与隐私研讨会上发表。

合著者、萨里大学的Ioana Boureanu博士补充说,“我们展示了非接触式移动支付的可用性功能如何降低安全性。

“然而,我们也发现了非接触式移动支付设计,比如三星支付,既实用又安全。

“苹果付费用户不应该为了可用性而牺牲安全性,但他们中的一些人现在已经这样做了。”

重!103010发布:过渡期从明年开始执行到2023年6月底
« 上一篇
返回列表
下一篇 »
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
你会是第一个来这里评论的人吗?
最近发布资讯
更多