iPhone锁屏了,攻击者依然可以利用这个漏洞盗用Apple Pay

发表于:2021-10-12 08:58  作者:apacheman   来源:FreeBuf

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: 漏洞 苹果

  10月1日,网络安全研究人员公布了Apple Pay中一个未修复的漏洞,攻击者可以利用钱包中的Express Travel模式,即使在iPhone锁屏状态也可以盗用Visa支付。
  Express Travel模式允许iPhone和Apple Watch用户在乘坐公共交通时进行快速非接触式支付,无需打开App、唤醒或解锁设备,甚至无需使用Face ID、Touch ID或密码验证。
  伯明翰大学和萨里大学的学者说:“攻击者只要拿到一部失窃的、处于开机状态的iPhone,就可以在受害者毫不知情的情况下,随意使用受害者的Visa支付。攻击者的行为也不会被商家发现,后台欺诈检测审查也并未拦截我们的支付测试。”
  Apple Pay 和 Visa系统中的漏洞可联合利用,中间人 (MitM) 重放和中继攻击可绕过锁屏,向任意 EMV 读卡器发送付款请求。但Apple Pay中的Master支付以及Samsung Pay的Visa支付不受影响。
  研究人员表示,Apple和Visa分别在2020年10月和2021年5月收到了该漏洞的预警,双方都承认漏洞的严重性,但双方尚未就哪一方应该修复漏洞达成一致。”
  Visa方面向BBC表示,此类攻击“不切实际的”,“十多年来,我们在实验环境中对非接触式欺诈及其变种进行过研究。结果证明,在现实中大规模实施非接触式欺诈是不切实际的。”
  苹果发言人对BBC说:“这是Visa系统的问题,但Visa认为鉴于存在多层安全保护,这种欺诈行为不会在实际中发生。”
  参考来源:https://thehackernews.com/2021/10/apple-pay-can-be-abused-to-make.html

  本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理

评 论

论坛新帖



建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海信义律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2021, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道