アップルニュース

セキュリティの専門家は、ロックされたiPhoneからの大量の不正なVisa支払いを可能にするApple PayExpressトランジットハックについて警告します

2021年9月30日木曜日午前1時14分PDTby Tim Hardwick

英国の研究者は、ロックされたiPhoneで、悪用することにより、不正な非接触型決済をどのように行うことができるかを実証しました Apple Pay Visaで設定した場合ののエクスプレストランジット機能。





アップルペイエクスプレストランジットロンドン
Express Transitは‌ Apple Pay‌です。チケットバリアでのタップアンドゴー支払いを可能にする機能。FaceID、Touch ID、またはパスコードで認証する必要がありません。 Express Transitを使用するために、デバイスをウェイクアップまたはロック解除する必要はありません。

バーミンガム大学とサリー大学のコンピュータサイエンスの研究者は、 BBC 電話の近くに配置され、チケットの障壁になりすました市販の無線機器の小片を使用して、Visa非接触システムの弱点を悪用して攻撃がどのように機能するか。





研究者によって開発されたアプリを実行しているAndroid携帯電話は、からの信号を中継するために使用されます iPhone 非接触型決済端末に接続し、通信を変更して、端末をだまして‌ iPhone‌のように動作させます。ロックが解除され、支払いが承認されました。

攻撃のデモンストレーションで、研究者はロックされた‌ iPhone‌から1,000ポンドの非接触型Visa支払いを行いました。科学者たちは自分の口座からお金を受け取っただけです。研究者たちは、使用するAndroidフォンと決済端末は被害者の‌ iPhone‌の近くにある必要はないと述べました。インターネット接続がある限り。

Appleは BBC 問題はビザシステムの問題でした。

iphone12とiphone12proのサイズ

「私たちはユーザーのセキュリティに対する脅威を非常に深刻に受け止めています」とAppleは述べています。 「これはVisaシステムの懸念事項ですが、Visaは、セキュリティが多層化されていることを考えると、この種の詐欺が現実の世界で発生する可能性は低いと考えています。万が一、不正な支払いが発生した場合、Visaは、カード所有者がVisaのゼロ責任ポリシーによって保護されていることを明確にしました。

研究者たちは、ハッキングが実際に使用されたという証拠はないものの、盗まれた‌ iPhone‌に対して攻撃を展開するのが最も簡単かもしれないと述べました。ビザは、支払いは安全であり、このタイプの攻撃は研究室の外では非現実的であると述べました。

私のエアポッドの1つが動作を停止しました

「ApplePayExpress Transitに接続されているVisaカードは安全であり、カード所有者は引き続き自信を持って使用する必要があります」とVisaの広報担当者は述べています。 「非接触型詐欺スキームのバリエーションは、10年以上にわたって実験室の設定で研究されており、現実の世界で大規模に実行することは非現実的であることが証明されています。」

研究者は BBC 彼らはほぼ1年前に最初に懸念を持ってAppleとVisaにアプローチしましたが、「有用な」会話にもかかわらず、問題はまだ修正されていません。研究者はまた、Mastercardを使用してExpress Transitをテストしましたが、そのセキュリティの仕組みが攻撃を防ぐことを発見しました。

「技術的に複雑です」と、研究を主導したバーミンガム大学のAndreeaRadu博士は述べています。 「しかし、攻撃を行うことによる報酬はかなり高いと感じています。数年以内に、これらは実際の問題になる可能性があります。

同じくバーミンガム大学のトム・チョチア博士は、‌ iPhone‌に助言しました。ユーザーは、Express Transitを使用するようにVisaカードが設定されているかどうかを確認し、設定されている場合は無効にします。 '‌ Apple Pay‌は必要ありませんユーザーは危険にさらされているが、AppleまたはVisaがこれを修正するまで、彼らは危険にさらされている」と彼は述べた。

関連するまとめ: Apple Pay タグ:ビザ、エクスプレストランジット関連フォーラム: Apple Music、Apple Pay / Card、iCloud、Fitness +