in ,

Apple Pay爆漏洞、無需確認即可碌£1000  蘋果:唔關我事

雖然香港不是所有交通工具都接受Apple Pay付款,但外國曾已經變得很普遍,例如倫敦地鐵可以用Apple Pay或其他智能電話非接觸式付款,代替當地的Oyster Card付款。不過,有安全研究員向BBC展示Apple Pay的Express Travel快速交通付款有漏洞,可以在被害者沒有確認、無需解鎖、不知情的情況下,碌走£1000。

因為安全理由,英國傳媒並無完整展示方法,BBC只是簡單講到其基本方法,就是首先在受害者的iPhone上加入很細的通訊儀器,然後再加一部android手機接收iPhone發出的訊號,以便用來再接駁終端機或商店的付款裝置。同時間,受害者的iPhone會以為手機已被解鎖,允許高額的交易,例如今次就碌走£1000。在示範過程中,示範為受害者的iPhone無需任何確認或解鎖,成功碌走£1000。

研究員提到,攻擊中使用的Android或終端機,無需接近被害者的iPhone,可以是另一個國家都可以。不過,研究員亦提到有關攻擊目前只在實驗室成功示範,暫時未有證據已有人中招或受害。

另一間公司、與今次示範無關的安全研究員Ken Munro,則提到有關漏洞需立即修復,並指比起過往要有一部終端機在手更加容易做到。今次示範雖然要有一系列準備,但Ken認為最大擔心是若果用戶的手機被偷走或遺失,就算有鎖上或複雜密碼,也可以隨意偷走金錢。

Visa回應BBC查詢時稱,類似的實驗多年在實驗室出現,但在實際環境中難以執行。蘋果則指他們對用戶安全要求很高,並指上述示範是Visa系統的事情,而且Visa並不相信有關實驗能在實際環境中執行,因為當中有多層安全保護。唯BBC訪問大學教授Dr Andreea Radu時,Andreea表示有關攻擊的回報太高,若不修復問題,數年後就很可能出事,更建議有使用Apple Pay加Visa用戶先把Express Travel功能關閉。

有其他專家都忍不住串蘋果,指Samsung手機再加Visa卡的話並無此問題,而Mastercard同樣無上述問題。

記者:阿鬼

天生火爆,用一團火和光合作用,繼續盡力發聲做記者。