Pony科技创作者们最近又揭露了iPhone在处理非接触式支付时的一个令人不安的漏洞。知名YouTube频道Veritasium的一期深度视频显示,小偷不用知道你的密码,就能从锁定的iPhone上偷走钱。这个漏洞专门针对某项交通支付功能,不过有个前提:只有用Visa卡才会中招。
这个漏洞利用了快捷交通模式的空子
问题出在Apple Pay的“快捷交通”模式上。这个设置本来是为了方便乘客,在地铁闸机前不用解锁手机就能直接刷卡。黑客却想办法钻了这个便利的空子。他们用专门的无线电设备,能让锁定的iPhone误以为自己正靠近地铁闸机。
一旦手机“以为”自己到了车站,设备就会充当中间人,把信号转发到别处的普通支付终端上。由于Visa在处理离线交通支付时存在一个特定的安全缺口,锁定的iPhone就会批准一笔普通的信用卡交易。如果你用的是Mastercard或American Express,那就完全没事,因为这些网络会直接挡住这种把戏。
苹果知道这个漏洞,但Android手机依然安全
Veritasium的视频已经证实这个攻击真实存在,但实际操作起来难度很高。小偷需要昂贵的设备、定制的配置,还得长时间贴近你的口袋。安全专家早在2021年就报告过这个漏洞。苹果认为现实中几乎不可能发生真实攻击,所以没有修改iPhone的系统。Visa也持相同看法,并承诺按照政策承担任何欺诈损失。
如果你想彻底安心,可以直接在手机设置里关闭交通支付功能。有意思的是,运行Google系统的手机不存在这个问题。安全测试人员在几款Android机型上尝试了同样的中继攻击,但系统自然就拦住了交易。
全部评论0