近日,安全研究人员披露了一种针对 iPhone 的 NFC 漏洞,可在锁定状态下通过关联 Visa 信用卡的移动支付功能窃取资金。该攻击需满足特定硬件与支付条件,且主要涉及 Visa 卡而非系统缺陷。
漏洞原理与攻击条件
- Express Transit 模式:用户需预先为 Express Transit Mode 的支付方式绑定 Visa 信用卡。
- 物理访问与硬件:攻击需配合定制的 NFC 读卡设备连接至中转终端,并同步传输支付数据。$10,000 金额验证仅在实验室环境下完成。
- 支付协议限制:攻击依赖 NFC 通信拦截,且仅对 Visa 卡有效,Mastercard、American Express 及 Samsung Pay 因加密机制不同无法触发。
行业回应与用户建议
Apple 确认漏洞源于 Visa 系统的支付协议设计,而非 iOS 安全机制缺陷。Visa 强调其零责任政策可保护持卡人,并认为实际攻击场景概率极低。研究人员建议用户避免使用 Visa 关联交通支付功能以降低风险。
该事件揭示了移动支付协议与硬件安全策略的交叉风险点,凸显了跨平台支付场景中的漏洞关联性。
via MacRumors