Apple Pay移动支付也不安全?交易可被窃听篡改

简介: 本文讲的是Apple Pay移动支付也不安全?交易可被窃听篡改,在Blach Hat会议上,Positive Technologies的安全研究人员宣布,现在可以利用Apple Pay移动支付中存在的漏洞来发动攻击。Positive Technologies称已经发现了两个潜在的攻击媒介。
本文讲的是 Apple Pay移动支付也不安全?交易可被窃听篡改

Apple Pay移动支付也不安全?交易可被窃听篡改

在Blach Hat会议上,Positive Technologies的安全研究人员宣布,现在可以利用Apple Pay移动支付中存在的漏洞来发动攻击。Positive Technologies称已经发现了两个潜在的攻击媒介。

银行技术业务安全负责人Timur Yunusov说,相比较而言,ApplePay的支付系统相对安全一些,因为它有一个单独的微处理器来完成支付,而且卡里的数据信息是也不会存储在设备上的,更不会在付款期间以明文的形式进行传输。

在测试期间,我发现了至少有两种方法可以使这些注意事项变得毫无价值。其中一种攻击方式是依赖于越狱设备,这个部分所占的比例大概约有20%。另一种攻击方式则是针对“完好”的设备,完全不需要越狱,攻击者就可以将被盗卡片里的详细信息注册到自己的iPhone帐户, 或者可以拦截和Apple服务器之间的SSL流量设备,这样就可以直接从受害者的手机来进行欺诈性付款。

越狱后风险更高

Yunusov在谈话中提到的第一个攻击方式是需要越狱设备来进行工作的,这就意味着攻击者首先必须通过恶意程序来感染越狱设备,一旦感染了越狱设备,攻击者就可以将支付数据拦截到Apple服务器上。 而一旦黑客成功地感染了具有root用户权限的恶意软件设备,他们就可以达到最终目标。

第二个攻击方式不要求越狱,攻击者就可以拦截并/或伪造SSL流量,篡改交易数据,比如修改交易金额、币种,还有商品投递细节信息。

攻击者可以将窃取到的卡片信息,注册到其iPhone账户中,并进行交易;通过拦截设备与苹果服务器间的SSL流量进行欺诈支付。

El Reg解释说“第二个攻击方式,它的第一步就是黑客从受害者的手机中窃取付款令牌。 比如他们会通过利用公共Wi-Fi,或提供自己的“假冒”Wi-Fi热点,要求用户创建个人资料。 仅凭这一点他们就可以窃取ApplePay密码(加密数据的关键).但Apple声明这样的密码只能使用一次。 然而,商家和支付网关通常被设置为允许密码被多次使用。”

由于交货信息是以明文方式发送的,故而不能检查其完整性,这样黑客就可以使用截取到的密码在同一网站上进行后续付款,然后受害人将被收取这些交易所产生费用。

专家们强调,这种攻击也存在一些缺陷,比如说非法交易发生后受害者也会收到通知。这意味着受害者可以立马中止交易。因此,研究人员建议用户不要通过公共WiFi网络来使用Apple Pay,特别是用在未使用HTTPS的站点购买商品,因为攻击者可以很容易地对流量进行窃听。

Yunusov补充说:“一如以往的建议就是一定要避免越狱”另外一个预防措施是让用户避免下载不必要的应用程序,以防止恶意软件被添加到设备中。“

技术安全负责人已经向苹果公布了其调查结果,但同时也表示说,由于对安全链的组件有着重大的影响,所以修补程序的开发也并不简单。



原文发布时间为:2017年8月4日
本文作者:Change 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

目录
相关文章
|
存储 安全 大数据
5 个关于 NFT 的技术漏洞
NFT 的概念在很短的时间内达成共识,但缺点从未得到解决。对于想了解 NFT 的人来说,其 5 个技术漏洞必须知道。
368 0
|
安全 物联网
捂好电子钱包 信用卡诈骗解决方案大全
最近笔者看到了Tom Patterson在计算机世界上刊登的一篇文章。文章中他对信用卡/借记卡的安全使用提出了一些建议。由于Patterson先生是安全领域知名的专家,因此笔者对这篇文章也相当关注。
1148 0
|
区块链 数据安全/隐私保护
|
安全 区块链 虚拟化
以太坊钱包客户端 Parity 遭黑客攻击,价值3000万美元的以太币被盗
本文讲的是以太坊钱包客户端 Parity 遭黑客攻击,价值3000万美元的以太币被盗,今天,推特上流传着一个VMware虚拟机逃逸漏洞的利用工具。
1523 0
|
存储 安全 算法
比特币钱包遭暴力破解的真相竟是为了挖宝
本文讲的是比特币钱包遭暴力破解的真相竟是为了挖宝,近日,一个被称为“ Large Bitcoin Collider”的组织已经暴力破解了数个比特币钱包,其中有三个钱包里含有比特币。目前尚不清楚该组织的目的是金钱还是挑战技能。
2571 0