研究人員發(fā)現(xiàn)一種利用未解鎖的iPhone使用Apple Pay+visa卡來發(fā)起無接觸欺詐交易的方法。

　　背景知識

　　無接觸Europay, Mastercard, and Visa （EMV）支付是一種快速和容易的支付方法，也逐漸成為一種支付的標(biāo)準(zhǔn)方式。但如果支付過程中沒有用戶輸入，就會增加攻擊面，尤其是中繼攻擊者可以在卡所有者不知情的情況下，通過構(gòu)造卡和讀卡器之間的消息來發(fā)起欺詐交易。通過智能手機(jī)APP的支付必須通過指紋、PIN碼、Face ID等方式被用戶確認(rèn)，這使得中繼攻擊的威脅變得小了很多。

　　2019年5月，Apple引入一個新的功能——“Express Transit/Travel”功能，允許用戶在非接觸式終端上，快速使用iPhone或Apple Watch進(jìn)行身份驗(yàn)證，無需通過人臉I(yè)D或觸摸進(jìn)行身份驗(yàn)證，甚至無需解鎖手機(jī)。通過在Apple Pay for Express Transit中使用EMV卡，用戶不必預(yù)先加載資金或?qū)①Y金轉(zhuǎn)換為轉(zhuǎn)機(jī)費(fèi)用。從理論上講，這將大大簡化這一過程。此外，Visa也提出一種協(xié)議來預(yù)防此類針對卡的中繼攻擊。

Apple Pay Transport Mode攻擊

　　近日，英國伯明翰大學(xué)和薩里大學(xué)的研究人員分析發(fā)現(xiàn)Visa提出的中繼攻擊預(yù)防措施可以使用啟用了NFC的安卓智能手機(jī)繞過。繞過攻擊是針對Apple Pay Transport模式的，Apple Pay Transport Mode攻擊是一種主動的MIMT（中間人）重放和中繼攻擊。攻擊中需要iPhone將一個visa卡設(shè)置為“transport card”（交通卡）。

　　如果非標(biāo)準(zhǔn)字節(jié)序列 （Magic Bytes） 位于標(biāo)準(zhǔn) ISO 14443-A WakeUp 命令之前，Apple Pay 會將此視為與傳輸EMV 讀取器的交易。研究人員使用Proxmark （讀卡器模擬器）與受害者的iPhone通信，使用啟用了NFC的安卓手機(jī)（作為卡模擬器）與支付終端通信。Proxmark和卡模擬器之間也需要通信。在實(shí)驗(yàn)中，研究人員將Proxmark連接到筆記本，通過USB連接，然后筆記本可以通過WiFi中繼消息給卡模擬器。然后，Proxmark可以通過藍(lán)牙直接與安卓手機(jī)通信，安卓手機(jī)不需要root。

　　攻擊要求與受害者的iPhone處于比較近的距離。攻擊中，研究人員首先重放Magic Bytes到iPhone，就像交易發(fā)生在EMV讀卡器上一樣。然后，重放EMV消息時，需要修改EMV終端發(fā)送的Terminal Transaction Qualifiers （TTQ）來設(shè)置EMV模式支持和在線認(rèn)證支持的Offline Data Authentication （ODA）位標(biāo)記。在線交易的ODA是讀卡器中使用的特征。如果交易在無接觸的限額內(nèi)，這些修改足以中繼交易到非transport的EMV讀卡器。

　　為中繼超過無接觸限額的交易，iPhone發(fā)送的Card Transaction Qualifiers （CTQ）也需要修改來設(shè)置Consumer Device Cardholder Verification Method方法的位標(biāo)記。這使得EMV讀卡器相信設(shè)備用戶認(rèn)證已經(jīng)執(zhí)行了。iPhone發(fā)送的2個消息中的CTQ值必須被修改。

　　PoC視頻參見：https://practical_emv.gitlab.io/assets/apple_pay_visa.mp4

　　如何應(yīng)對？

　　研究人員已于2020年10月和2021年5月將發(fā)現(xiàn)分別發(fā)送給了蘋果和Visa公司，但兩家公司都沒有修復(fù)該問題。相反，兩家公司都將責(zé)任推給對方。Visa還認(rèn)為該漏洞的利用需要使用root手機(jī)，這需要很高的專業(yè)技能。研究人員建議用戶不在Apple pay中使用visa作為交通卡。如果iPhone丟失或被盜，建議盡快激活iPhone的丟失模式，并停用該卡片。