PTT數位生活區 / MobileComm (行動通訊)

[新聞] 研究:Apple Pay含有Visa信用卡可被盜刷的安全漏洞

看板MobileComm (行動通訊)作者 (挖哩)時間5月前 (2024/05/26 12:29), 5月前編輯推噓12(17539)
留言61則, 27人參與, 5月前最新討論串1/1
研究人員先後將漏洞通報蘋果及Visa,但兩家業者對於誰該處理漏洞並無共識 新聞 研究:Apple Pay含有Visa信用卡可被盜刷的安全漏洞 研究人員先後將漏洞通報蘋果及Visa,但兩家業者對於誰該處理漏洞並無共識 文/陳曉莉 | 2021-10-01發表 一群安全研究人員本周揭露了Apple Pay的安全漏洞,指稱當啟用Express Transit/Travel 功能時,駭客即可繞過蘋果的安全機制,盜刷使用者的Visa信用卡,然而,蘋果卻說這是Vi sa系統的問題。 Apple Pay為蘋果iOS內建的支付機制,使用者可於Apple Pay中存放各種信用卡,執行支付 時必須透過指紋、Face ID或PIN碼進行確認,不過,蘋果在2019年於Apple Pay中新增了Exp ress Transit功能,在使用者不必與之互動、甚至在不必解鎖手機的狀況下就能進行支付, 對於要快速通過查票口是個很方便的功能。 然而,研究人員卻發現他們可以利用Express Transit繞過Apple Pay的螢幕鎖住功能,並以 使用者所指定的Visa信用卡進行支付,完全不需要使用者的授權。 研究人員採取的是中間人重放與中繼攻擊,他們是透過一個Reader模擬器Proxmark與受害者 的iPhone溝通,再以一支啟用NFC功能的Android手機充當卡片模擬器,以與EMV支付設備通 訊,為了建立Proxmark與卡片模擬器之間的連結,研究人員先將Proxmark以USB連至一臺筆 電,再以筆電將訊息透過Wi-Fi連至卡片模擬器,或者Proxmark也能直接透過藍牙來連結卡 片模擬器。 在一段展示影片中,研究人員成功地從一支鎖住的iPhone上盜刷了1,000歐元。 有趣的是,這群研究人員分別在去年10月與今年5月,將此一漏洞回報給蘋果及Visa,但這 兩家業者對於誰該對此一漏洞負責卻未達到共識。 BBC取得了蘋果與Visa的回應,其中,蘋果認為這是Visa系統的問題,Visa亦明白表示,非 接觸支付的詐騙手法早在10年前就出現在實驗室中,也已被證明它要在實體世界中執行大規 模的攻擊是不可行的。 根據雙方的說法,行動支付或非接觸支付的交易過程中有著重重的安全機制,再不濟Visa也 提供了持卡人零責任政策,不向被盜刷的受害者收款。 換言之,蘋果與Visa目前似乎不打算修補該漏洞,不過,研究人員建議使用者最好不要指定 Visa信用卡作為Express Transit的支付工具,以保障自身的權益。 https://www.ithome.com.tw/news/147013 備註 非果粉 : Who cares 蘋果用戶這麼多 資安問題還能推皮球 果粉 : Who cares me too 潮就好 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.127.17.214 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1716697764.A.098.html ※ 編輯: wattswatts (59.127.17.214 臺灣), 05/26/2024 12:29:50
05/26 12:30, 5月前 , 1F
2021
05/26 12:30, 1F
News – January 2023 Our Apple-Visa attack is still LIVE (!!!), sadly. See us demo-ing it very much i n real-life, on stage, here: over-the-limit-payment, live, from locked iPhone https://youtu.be/nMIMxLbSE-4
※ 編輯: wattswatts (59.127.17.214 臺灣), 05/26/2024 12:37:16
05/26 12:38, 5月前 , 2F
看起來很像快速交通卡的功能,這樣算漏洞嗎?
05/26 12:38, 2F
05/26 12:42, 5月前 , 3F
05/26 12:42, 3F
05/26 12:43, 5月前 , 4F
所以問題出在於為什麼收款方的系統可以被模擬吧?
05/26 12:43, 4F
05/26 12:43, 5月前 , 5F
2023
05/26 12:43, 5F
05/26 12:44, 5月前 , 6F
我圈起來的這段不覺得越念越好笑嗎?
05/26 12:44, 6F
05/26 12:44, 5月前 , 7F
你把功能當作漏洞到底?
05/26 12:44, 7F
05/26 12:49, 5月前 , 8F
然後20日以上舊文心得至少250字,不過現在沒板主
05/26 12:49, 8F
05/26 13:05, 5月前 , 9F
懶人包就是誰把卡號存在裡面誰就白痴?
05/26 13:05, 9F
05/26 13:05, 5月前 , 10F
等等 我走錯板了 會被水桶嗎?
05/26 13:05, 10F
05/26 13:15, 5月前 , 11F
刷信用卡不是早就統一都改成一定要解鎖了嗎
05/26 13:15, 11F
05/26 13:23, 5月前 , 12F
iPhone自己弄出來的類票證聯名卡功能?
05/26 13:23, 12F
05/26 13:27, 5月前 , 13F
05/26 13:27, 13F
05/26 13:29, 5月前 , 14F
iphone交通卡功能不用解鎖 不是只有高捷有支援app
05/26 13:29, 14F
05/26 13:29, 5月前 , 15F
le pay嗎?大部分的人應該用不到這功能吧
05/26 13:29, 15F
快速交通卡功能 高捷 桃園機捷 中捷 我最多人坐的北捷 我還在摸索悠遊卡中 [情報] 智慧中捷,多元支付最便捷 https://bit.ly/44VNk3m
05/26 13:35, 5月前 , 16F
2樓冷靜一點,與其看翻譯的文章不如去看一下前面的
05/26 13:35, 16F
05/26 13:35, 5月前 , 17F
YT 影片,這確實是個漏洞,關鍵就在於手機與卡機
05/26 13:35, 17F
05/26 13:35, 5月前 , 18F
之間傳遞的訊息被中間人竄改後重放,讓卡機以為交
05/26 13:35, 18F
05/26 13:35, 5月前 , 19F
易是經過生物辨識驗證的一般交易,但手機以為是快
05/26 13:35, 19F
05/26 13:35, 5月前 , 20F
速交通交易所以才不需要解鎖
05/26 13:35, 20F
05/26 13:37, 5月前 , 21F
不過還是想噓備註在地圖炮什麼??
05/26 13:37, 21F
05/26 13:43, 5月前 , 22F
所以有災情傳出了沒?
05/26 13:43, 22F
05/26 13:48, 5月前 , 23F
等等幾家農場文就要來抄了
05/26 13:48, 23F
05/26 14:03, 5月前 , 24F
收visa的錢對貧果更有利益。貧果在乎的是有無賺錢勝
05/26 14:03, 24F
05/26 14:03, 5月前 , 25F
過果粉的個資財產安不安全
05/26 14:03, 25F
05/26 14:13, 5月前 , 26F
簡單來說就是利用難度高 所以兩邊都擺爛 碰到再個案
05/26 14:13, 26F
05/26 14:15, 5月前 , 27F
處理吧 是說之前在綁信用卡時有聽到銀行說因為行動
05/26 14:15, 27F
05/26 14:15, 5月前 , 28F
支付在消費時已經有經過認證了 所以被盜刷會沒辦法
05/26 14:15, 28F
05/26 14:16, 5月前 , 29F
適用零責任政策? 就像有3D認證被盜刷銀行不會認一樣
05/26 14:16, 29F
05/26 14:20, 5月前 , 30F
肯定是 visa 問題
05/26 14:20, 30F
05/26 14:22, 5月前 , 31F
反正裹粉會說一定不是apple的問題 通通推給visa就好
05/26 14:22, 31F
05/26 14:44, 5月前 , 32F
畢竟蘋果
05/26 14:44, 32F
05/26 14:50, 5月前 , 33F
反正果粉不在意
05/26 14:50, 33F
※ 編輯: wattswatts (59.127.17.214 臺灣), 05/26/2024 15:30:38
05/26 15:42, 5月前 , 34F
iPhone 遇到問題一定是使用者的問題
05/26 15:42, 34F
05/26 15:45, 5月前 , 35F
難得可以嘴蘋果
05/26 15:45, 35F
05/26 16:20, 5月前 , 36F
請問大家門口的鎖可以禁得起何種程度的解鎖???????
05/26 16:20, 36F
05/26 16:20, 5月前 , 37F
你又願意花多少錢把你家門口的鎖做多大的升級? why?
05/26 16:20, 37F
05/26 16:38, 5月前 , 38F
樓上是在暗示各位給蘋果的錢不夠多 請多多佈施
05/26 16:38, 38F
05/26 16:39, 5月前 , 39F
只給這點錢還想要安全性?
05/26 16:39, 39F
05/26 16:55, 5月前 , 40F
台灣的捷運並沒有支援快速交通模式,只是能刷卡但還
05/26 16:55, 40F
05/26 16:55, 5月前 , 41F
是要解鎖才行
05/26 16:55, 41F
05/26 16:58, 5月前 , 42F
這一定visa的問題啊 看看安卓是不是也能發生一樣的
05/26 16:58, 42F
05/26 16:58, 5月前 , 43F
事不就知道了
05/26 16:58, 43F
05/26 17:00, 5月前 , 44F
這種複雜的攻擊只要技術驗證能過就算了 就算實務上
05/26 17:00, 44F
05/26 17:01, 5月前 , 45F
很難或幾乎辦不到是另一回事 但這兩邊都擺爛應該就
05/26 17:01, 45F
05/26 17:02, 5月前 , 46F
真的非常難達成+應用場景超少 所以不急.jpg
05/26 17:02, 46F
05/26 17:13, 5月前 , 47F
所以綁完給虛擬卡號也是無用的,照樣刷過?
05/26 17:13, 47F
05/26 17:13, 5月前 , 48F
理論上有可能連安卓都可以騙
05/26 17:13, 48F
05/26 19:07, 5月前 , 49F
如果Mastercard沒問題那…
05/26 19:07, 49F
05/26 19:39, 5月前 , 50F
安卓只要刷都是信用卡現在也一定都要透過解鎖了
05/26 19:39, 50F
05/26 19:40, 5月前 , 51F
包括NFC-SIM信用卡聯名卡也改成MobilePay方式了
05/26 19:40, 51F
05/26 19:43, 5月前 , 52F
唯一能不需解鎖也就剩交通卡部分 支付只能小額付款
05/26 19:43, 52F
05/26 19:44, 5月前 , 53F
台灣跟日本都開始有閘門升級成能直接刷信用卡
05/26 19:44, 53F
05/26 19:45, 5月前 , 54F
蘋果那功能感覺大概也只是過渡用
05/26 19:45, 54F
05/26 21:14, 5月前 , 55F
反正VISA能少用就用,跨國匯率那麼差,不如用萬事
05/26 21:14, 55F
05/26 21:14, 5月前 , 56F
05/26 21:14, 56F
05/26 21:19, 5月前 , 57F
果粉:蘋果怎麼可能有漏洞,一定是別人的問題
05/26 21:19, 57F
05/27 00:40, 5月前 , 58F
JCB/Mastercard勒
05/27 00:40, 58F
05/27 14:43, 5月前 , 59F
這跟需不需要解鎖無關吧 關鍵是在於利用不需解鎖的
05/27 14:43, 59F
05/27 14:43, 5月前 , 60F
小額付款授權進行竄改 讓這個授權變成可以用在大額
05/27 14:43, 60F
05/27 14:43, 5月前 , 61F
消費
05/27 14:43, 61F
更多 wattswatts 的文章
文章代碼(AID): #1cKhga2O (MobileComm)
MobileComm 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 wattswatts 的文章
文章代碼(AID): #1cKhga2O (MobileComm)