撰文 | 於秩
出品 | 支付百科
近日,英國一群安全研究人員揭露了Apple Pay的安全漏洞,稱當啟用ExpressTransit/Travel功能時,駭客即可繞過蘋果的安全機制,盜刷使用者的信用卡。
Apple Pay是蘋果手機內部的支付平臺,使用者可將信用卡內建於Apple Pay中。蘋果曾在Apple Pay中新增了Express Transit功能,使用者不必互動,也無需解鎖手機便可進行支付。
然而,研究人員卻發現他們可以利用Express Transit繞過Apple Pay的屏保鎖住功能,並以使用者所指定的信用卡進行支付,完全不需要使用者的授權。
為了證明觀點的正確性,研究人員實施了一次攻擊,從他們自己的個人賬戶中「竊取」了1000英鎊。
研究人員對蘋果多個型號的手機進行了測試,結果表明,每種型號的iPhone手機都存在這一缺陷。
這已經不是Apple Pay第一次被爆出漏洞。
曾有大量讀者向「支付百科」反映,在使用蘋果Apple Pay閃付進行交通卡充值出現BUG,使用者充值資金後,卻未到賬,「充值資金憑空消失」。
2018年,在上海工作的銀行職員張先生日常需要搭乘地鐵出行,他充值300元,可過了一週就發現餘額已經變成0元,充值的300元不見了。查詢了銀行扣款的確是通過Apple Pay支付的,但是地鐵櫃臺工作人員查詢卻沒有資金到賬記錄。在了解到大概的詳情之後,支付百科致電蘋果客服,蘋果方面迴應稱,他們並無法予以解決。
這與近期出現的漏洞十分相似。
除此之外,蘋果還曾被爆出攻擊者可以利用漏洞只支付一個訂單,然後重複使用收據來實現刷多個訂單。蘋果有個功能,新使用者首次支付,在40元以下的商品,蘋果會首先通知商家發貨,然後再去銀行卡扣錢。很多黑產會利用這個漏洞來刷錢。
據艾瑞諮詢資料顯示,第三方支付市場高速發展,行動支付與網際網路支付的總規模在2020年達到271萬億元。正是因為有利可圖,支付平臺成為駭客攻擊的重點對象,頻頻遭遇駭客入寢。
隨著網路安全問題的加深,加強網路支付安全勢在必行。第三方支付平臺需要強化支付安全,查找安全漏洞,完善技術,營造安全支付環境。
合作/客服微信:baike2999
▼進群加微信:baike2777
點選下方卡片關注支付百科
