想象一下,你的iPhone放在口袋里,完全锁定,却有人在不触碰屏幕或进行面部识别的情况下,从你的电子钱包里取走了数千美元!这听起来像是科幻电影里的情节,但它确实在一个真实但颇具争议的实验中发生过。萨里大学和伯明翰大学的安全研究人员对知名YouTube博主Marcus Brownlee(MKBHD)的iPhone进行了一次复杂的攻击,成功地从他锁定的设备中取走了高达10,000万美元。
快速运输技巧
此次攻击由知名媒体 Veritasium 频道重点报道,利用了 Apple Pay 快捷交通模式的漏洞。该功能旨在让用户无需解锁 iPhone 或使用 Face ID 即可在地铁和公交车站快速支付。然而,研究人员找到了一种方法,可以欺骗手机,使其误以为正在交通站闸机处,而实际上却连接着一个伪造的读卡器。
这需要物理接触目标设备并使用专用设备。使用连接到笔记本电脑的NFC读取器拦截连接。然后修改NFC读取器的ID,使其与授权终端的ID匹配,并将收集到的支付数据发送到另一部手机(已被入侵的手机),该手机放置在合法读卡器附近以完成盗窃。
为什么特别推荐Visa卡?
这个漏洞的有趣之处在于,它只适用于特定的组合:iPhone 和 Visa 卡。事实证明,问题不在于苹果的操作系统本身,而在于 Visa 处理快速转账交易的安全协议。这种攻击对 Mastercard 或 American Express 卡无效,因为这些公司使用了不同的安全机制,无法用同样的方法欺骗。
三星设备和三星支付服务的用户也不会受到此类攻击的影响,这使得Visa和苹果公司需要澄清是谁造成了这一安全漏洞,该漏洞允许绕过传统交易的限制,并在一次操作中提取高达数千美元的巨额资金。
你应该担心你的钱财吗?
针对此次事件,苹果公司表示,该问题与Visa系统有关,并指出由于技术复杂性和所需的物理访问权限,此类欺诈行为在现实世界中不太可能发生。Visa方面则强调,其持卡人享有“零责任”政策的保护,这意味着任何此类欺诈交易都可以轻松追回。
简而言之,你不必担心。
专家认为,在街头发动如此大规模的攻击极其困难,但这提醒我们,无论技术多么安全,都可能存在意想不到的漏洞。如果您对此感到担忧,最简单的建议是避免使用Visa卡作为iPhone上“快速交通”功能的主要支付方式,或者如果您不使用支持的公共交通工具,则直接禁用该功能。
相片:
5条评论