iPhone锁屏了,攻击者依然可以利用这个漏洞盗用Apple Pay

安全 漏洞
网络安全研究人员公布了Apple Pay中一个未修复的漏洞,攻击者可以利用钱包中的Express Travel模式,即使在iPhone锁屏状态也可以盗用Visa支付。

10月1日,网络安全研究人员公布了Apple Pay中一个未修复的漏洞,攻击者可以利用钱包中的Express Travel模式,即使在iPhone锁屏状态也可以盗用Visa支付。

Express Travel模式允许iPhone和Apple Watch用户在乘坐公共交通时进行快速非接触式支付,无需打开App、唤醒或解锁设备,甚至无需使用Face ID、Touch ID或密码验证。

伯明翰大学和萨里大学的学者说:“攻击者只要拿到一部失窃的、处于开机状态的iPhone,就可以在受害者毫不知情的情况下,随意使用受害者的Visa支付。攻击者的行为也不会被商家发现,后台欺诈检测审查也并未拦截我们的支付测试。”

[[427792]]

Apple Pay 和 Visa系统中的漏洞可联合利用,中间人 (MitM) 重放和中继攻击可绕过锁屏,向任意 EMV 读卡器发送付款请求。但Apple Pay中的Master支付以及Samsung Pay的Visa支付不受影响。

研究人员表示,Apple和Visa分别在2020年10月和2021年5月收到了该漏洞的预警,双方都承认漏洞的严重性,但双方尚未就哪一方应该修复漏洞达成一致。”

Visa方面向BBC表示,此类攻击“不切实际的”,“十多年来,我们在实验环境中对非接触式欺诈及其变种进行过研究。结果证明,在现实中大规模实施非接触式欺诈是不切实际的。”

苹果发言人对BBC说:“这是Visa系统的问题,但Visa认为鉴于存在多层安全保护,这种欺诈行为不会在实际中发生。”

参考来源:https://thehackernews.com/2021/10/apple-pay-can-be-abused-to-make.html

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2021-04-29 09:36:23

攻击漏洞Kubernetes

2020-12-23 10:52:25

网络安全漏洞5G

2020-12-30 09:27:55

漏洞DDoS攻击网络攻击

2021-06-07 09:41:29

AWSVPC虚拟网络服务

2022-01-07 07:51:58

Log4j漏洞攻击微软

2022-04-20 14:54:35

漏洞网络攻击Windows

2014-10-08 09:25:30

2021-09-26 05:44:07

漏洞攻击黑客

2023-02-17 18:30:50

2021-09-08 18:23:34

漏洞攻击Confluence

2021-04-22 09:33:37

Azure漏洞攻击

2020-06-30 09:41:23

漏洞网络安全DNS

2021-04-10 10:33:00

黑客TCPIP

2016-01-05 15:54:32

2021-12-01 11:25:15

MSHTML微软漏洞

2021-11-04 05:48:43

SSL加密攻击勒索软件

2021-09-30 16:33:16

Apple Pay漏洞攻击者

2023-11-03 12:05:43

2023-05-19 19:32:01

2024-10-17 16:12:08

点赞
收藏

51CTO技术栈公众号