撰文 | 于秩
出品 | 支付百科
近日,英国一群安全研究人员揭露了Apple Pay的安全漏洞,称当启用ExpressTransit/Travel功能时,黑客即可绕过苹果的安全机制,盗刷使用者的信用卡。
Apple Pay是苹果手机内部的支付平台,用户可将信用卡内置于Apple Pay中。苹果曾在Apple Pay中新增了Express Transit功能,用户不必互动,也无需解锁手机便可进行支付。
然而,研究人员却发现他们可以利用Express Transit绕过Apple Pay的屏保锁住功能,并以使用者所指定的信用卡进行支付,完全不需要使用者的授权。
为了证明观点的正确性,研究人员实施了一次攻击,从他们自己的个人账户中“窃取”了1000英镑。
研究人员对苹果多个型号的手机进行了测试,结果表明,每种型号的iPhone手机都存在这一缺陷。
这已经不是Apple Pay第一次被爆出漏洞。
曾有大量读者向「支付百科」反映,在使用苹果Apple Pay闪付进行交通卡充值出现BUG,用户充值资金后,却未到账,“充值资金凭空消失”。
2018年,在上海工作的银行职员张先生日常需要搭乘地铁出行,他充值300元,可过了一周就发现余额已经变成0元,充值的300元不见了。查询了银行扣款的确是通过Apple Pay支付的,但是地铁柜台工作人员查询却没有资金到账记录。在了解到大概的详情之后,支付百科致电苹果客服,苹果方面回应称,他们并无法予以解决。
这与近期出现的漏洞十分相似。
除此之外,苹果还曾被爆出攻击者可以利用漏洞只支付一个订单,然后重复使用收据来实现刷多个订单。苹果有个功能,新用户首次支付,在40元以下的商品,苹果会首先通知商家发货,然后再去银行卡扣钱。很多黑产会利用这个漏洞来刷钱。
据艾瑞咨询数据显示,第三方支付市场高速发展,移动支付与互联网支付的总规模在2020年达到271万亿元。正是因为有利可图,支付平台成为黑客攻击的重点对象,频频遭遇黑客入寝。
随着网络安全问题的加深,加强网络支付安全势在必行。第三方支付平台需要强化支付安全,查找安全漏洞,完善技术,营造安全支付环境。
