過去五年,iPhone 的非接觸式支付漏洞一直存在,最近一條 Veritasium 深入影片將其詳細揭露,但 Android 手機並無此風險。非接觸式支付如今普及各地,一般被視為相當安全。新影片展示了一項長期漏洞,能讓用戶在未解鎖手機的情況下進行巨額消費。這種精密攻擊手法是透過欺騙手機,以為正與公共交通系統通訊,因為 Android 手機及 iPhone 均有專屬模式,會繞過一般解鎖要求,並支援離線運作,以因應地鐵等網絡不穩定的環境。
但僅 iPhone 受此漏洞影響。
iPhone Express 模式與 Visa 處理缺陷
iPhone 的 Express 模式允許交通系統繞過鎖定畫面,而 Visa 在處理巨額消費時的缺陷,導致此類交通情境下的交易不會被標記為異常,其他支付處理商則無此問題。攻擊過程需特殊硬體(影片中展示),並以已 root 的 Android 手機模擬卡片。Apple 指問題源於 Visa,後者認為現實中難以發生,並稱符合 Visa Zero Liability Policy。
Apple 與 Visa 自 2021 年起已知曉此漏洞。Visa 曾指 root Android 手機過程艱難,視為攻擊不易發生的原因。 影片值得一看,目前 Android 手機不受此特定攻擊影響。如影片所述,Samsung 會標記交通模式下的巨額消費。Google 則有額外安全層,Google Wallet 雖支援鎖定裝置支付,但需螢幕開啟,並逐步加入生物識別驗證,即使非支付情境亦然。
AI 內容聲明:本文由 AI 工具輔助撰寫初稿,經 TechRitual 編輯團隊審閱、修訂及事實查核後發佈。如有任何錯誤或需要更正,歡迎聯絡我們。
