研究人員發(fā)現(xiàn)一種利用未解鎖的iPhone使用Apple Pay+visa卡來發(fā)起無接觸欺詐交易的方法,。

　　背景知識

　　無接觸Europay, Mastercard, and Visa （EMV）支付是一種快速和容易的支付方法,，也逐漸成為一種支付的標準方式。但如果支付過程中沒有用戶輸入,，就會增加攻擊面,，尤其是中繼攻擊者可以在卡所有者不知情的情況下，通過構(gòu)造卡和讀卡器之間的消息來發(fā)起欺詐交易,。通過智能手機APP的支付必須通過指紋,、PIN碼、Face ID等方式被用戶確認,，這使得中繼攻擊的威脅變得小了很多,。

　　2019年5月，Apple引入一個新的功能——“Express Transit/Travel”功能,，允許用戶在非接觸式終端上，快速使用iPhone或Apple Watch進行身份驗證,，無需通過人臉I(yè)D或觸摸進行身份驗證,，甚至無需解鎖手機。通過在Apple Pay for Express Transit中使用EMV卡,，用戶不必預(yù)先加載資金或?qū)①Y金轉(zhuǎn)換為轉(zhuǎn)機費用,。從理論上講，這將大大簡化這一過程,。此外,，Visa也提出一種協(xié)議來預(yù)防此類針對卡的中繼攻擊。

Apple Pay Transport Mode攻擊

　　近日,，英國伯明翰大學和薩里大學的研究人員分析發(fā)現(xiàn)Visa提出的中繼攻擊預(yù)防措施可以使用啟用了NFC的安卓智能手機繞過,。繞過攻擊是針對Apple Pay Transport模式的，Apple Pay Transport Mode攻擊是一種主動的MIMT（中間人）重放和中繼攻擊,。攻擊中需要iPhone將一個visa卡設(shè)置為“transport card”（交通卡）,。

　　如果非標準字節(jié)序列 （Magic Bytes） 位于標準 ISO 14443-A WakeUp 命令之前,，Apple Pay 會將此視為與傳輸EMV 讀取器的交易。研究人員使用Proxmark （讀卡器模擬器）與受害者的iPhone通信,，使用啟用了NFC的安卓手機（作為卡模擬器）與支付終端通信,。Proxmark和卡模擬器之間也需要通信。在實驗中,，研究人員將Proxmark連接到筆記本,，通過USB連接，然后筆記本可以通過WiFi中繼消息給卡模擬器,。然后,，Proxmark可以通過藍牙直接與安卓手機通信，安卓手機不需要root,。

　　攻擊要求與受害者的iPhone處于比較近的距離,。攻擊中，研究人員首先重放Magic Bytes到iPhone,，就像交易發(fā)生在EMV讀卡器上一樣,。然后，重放EMV消息時,，需要修改EMV終端發(fā)送的Terminal Transaction Qualifiers （TTQ）來設(shè)置EMV模式支持和在線認證支持的Offline Data Authentication （ODA）位標記,。在線交易的ODA是讀卡器中使用的特征。如果交易在無接觸的限額內(nèi),，這些修改足以中繼交易到非transport的EMV讀卡器,。

　　為中繼超過無接觸限額的交易，iPhone發(fā)送的Card Transaction Qualifiers （CTQ）也需要修改來設(shè)置Consumer Device Cardholder Verification Method方法的位標記,。這使得EMV讀卡器相信設(shè)備用戶認證已經(jīng)執(zhí)行了,。iPhone發(fā)送的2個消息中的CTQ值必須被修改。

　　PoC視頻參見：https://practical_emv.gitlab.io/assets/apple_pay_visa.mp4

　　如何應(yīng)對,？

　　研究人員已于2020年10月和2021年5月將發(fā)現(xiàn)分別發(fā)送給了蘋果和Visa公司,，但兩家公司都沒有修復該問題。相反,，兩家公司都將責任推給對方,。Visa還認為該漏洞的利用需要使用root手機，這需要很高的專業(yè)技能,。研究人員建議用戶不在Apple pay中使用visa作為交通卡,。如果iPhone丟失或被盜，建議盡快激活iPhone的丟失模式,，并停用該卡片,。