來源:嘶吼RoarTalk
研究人員發(fā)現(xiàn)一種利用未解鎖的 iPhone 使用 Apple Pay+visa 卡來發(fā)起無接觸欺詐交易的方法。
背景知識
無接觸 Europay, Mastercard, and Visa ( EMV ) 支付是一種快速和容易的支付方法,也逐漸成為一種支付的標(biāo)準(zhǔn)方式。但如果支付過程中沒有用戶輸入,就會增加攻擊面,尤其是中繼攻擊者可以在卡所有者不知情的情況下,通過構(gòu)造卡和讀卡器之間的消息來發(fā)起欺詐交易。通過智能手機(jī) APP 的支付必須通過指紋、PIN 碼、Face ID 等方式被用戶確認(rèn),這使得中繼攻擊的威脅變得小了很多。
2019 年 5 月,Apple 引入一個新的功能—— "Express Transit/Travel" 功能,允許用戶在非接觸式終端上,快速使用 iPhone 或 Apple Watch 進(jìn)行身份驗(yàn)證,無需通過人臉 ID 或觸摸進(jìn)行身份驗(yàn)證,甚至無需解鎖手機(jī)。通過在 Apple Pay for Express Transit 中使用 EMV 卡,用戶不必預(yù)先加載資金或?qū)①Y金轉(zhuǎn)換為轉(zhuǎn)機(jī)費(fèi)用。從理論上講,這將大大簡化這一過程。此外,Visa 也提出一種協(xié)議來預(yù)防此類針對卡的中繼攻擊。
Apple Pay Transport Mode 攻擊
近日,英國伯明翰大學(xué)和薩里大學(xué)的研究人員分析發(fā)現(xiàn) Visa 提出的中繼攻擊預(yù)防措施可以使用啟用了 NFC 的安卓智能手機(jī)繞過。繞過攻擊是針對 Apple Pay Transport 模式的,Apple Pay Transport Mode 攻擊是一種主動的 MIMT(中間人)重放和中繼攻擊。攻擊中需要 iPhone 將一個 visa 卡設(shè)置為 "transport card"(交通卡)。
如果非標(biāo)準(zhǔn)字節(jié)序列 ( Magic Bytes ) 位于標(biāo)準(zhǔn) ISO 14443-A WakeUp 命令之前,Apple Pay 會將此視為與傳輸 EMV 讀取器的交易。研究人員使用 Proxmark ( 讀卡器模擬器 ) 與受害者的 iPhone 通信,使用啟用了 NFC 的安卓手機(jī)(作為卡模擬器)與支付終端通信。Proxmark 和卡模擬器之間也需要通信。在實(shí)驗(yàn)中,研究人員將 Proxmark 連接到筆記本,通過 USB 連接,然后筆記本可以通過 WiFi 中繼消息給卡模擬器。然后,Proxmark 可以通過藍(lán)牙直接與安卓手機(jī)通信,安卓手機(jī)不需要 root。
攻擊要求與受害者的 iPhone 處于比較近的距離。攻擊中,研究人員首先重放 Magic Bytes 到 iPhone,就像交易發(fā)生在 EMV 讀卡器上一樣。然后,重放 EMV 消息時,需要修改 EMV 終端發(fā)送的 Terminal Transaction Qualifiers ( TTQ ) 來設(shè)置 EMV 模式支持和在線認(rèn)證支持的 Offline Data Authentication ( ODA ) 位標(biāo)記。在線交易的 ODA 是讀卡器中使用的特征。如果交易在無接觸的限額內(nèi),這些修改足以中繼交易到非 transport 的 EMV 讀卡器。
為中繼超過無接觸限額的交易,iPhone 發(fā)送的 Card Transaction Qualifiers ( CTQ ) 也需要修改來設(shè)置 Consumer Device Cardholder Verification Method 方法的位標(biāo)記。這使得 EMV 讀卡器相信設(shè)備用戶認(rèn)證已經(jīng)執(zhí)行了。iPhone 發(fā)送的 2 個消息中的 CTQ 值必須被修改。
PoC 視頻參見:https://practical_emv.gitlab.io/assets/apple_pay_visa.mp4
如何應(yīng)對?
研究人員已于 2020 年 10 月和 2021 年 5 月將發(fā)現(xiàn)分別發(fā)送給了蘋果和 Visa 公司,但兩家公司都沒有修復(fù)該問題。相反,兩家公司都將責(zé)任推給對方。Visa 還認(rèn)為該漏洞的利用需要使用 root 手機(jī),這需要很高的專業(yè)技能。研究人員建議用戶不在 Apple pay 中使用 visa 作為交通卡。如果 iPhone 丟失或被盜,建議盡快激活 iPhone 的丟失模式,并停用該卡片。
相關(guān)研究成果已被安全頂級會議 2022 IEEE Symposium on Security and Privacy 錄用,相關(guān)論文參見:https://practical_emv.gitlab.io/assets/practical_emv_rp.pdf
更多參見:https://practical_emv.gitlab.io/
