英國的一個研究小組近日發現了和 Visa 卡和 Apple Pay 相關的安全問題，可能導致攻擊者繞過鎖屏並進行欺詐性支付。 根據該研究，當 Visa 卡在 iPhone 上被設置為蘋果的 Express Transit 模式時，該缺陷可能允許攻擊者繞過 iPhone 鎖屏，在沒有密碼的情況下進行非接觸式支付。

蘋果的 Express Transit 模式允許使用者在不解鎖設備的情況下，使用信用卡、轉帳卡或交通卡快速支付交通費用。 研究人員說，該漏洞只影響存儲在 Wallet 應用中的 Visa 卡。 它是由交通門或交通轉門使用的獨特代碼造成的，這些代碼向iPhone發出信號，以解鎖Apple Pay。

通過使用普通的無線電設備，研究人員能夠進行攻擊，誘使iPhone相信它是在一個交通門前。 這個概念驗證攻擊涉及一個啟用了 Express Transit 的 iPhone，向一個智慧支付閱讀器進行欺詐性支付。 類似的攻擊可能已經被駭客利用，通過廣播獨特的代碼和修改一系列的變數。

然而，研究人員指出，這種攻擊在大範圍內似乎並不實用。 即使攻擊者能夠成功，銀行和金融機構也有其他機制，通過檢測可疑交易來阻止欺詐。

論文的作者是 Andreea-Ina Radu、Tom Chothia、Christopher J.P. Newton、Ioana Boureanu 和 Liqun Chen，該論文將在 2022 年 IEEE 安全與隱私研討會上發表，他們的論文是由英國伯明罕大學和薩里大學的研究員發現的。

研究人員在 2020 年 10 月向蘋果公司發出了第一個警報，2021 年 5 月向 Visa 公司發出了警報。 在給 ZDNet 的一份聲明中，Visa 表示這種類型的攻擊並不新鮮，客戶無需擔心。

該信用卡公司寫道：「非接觸式欺詐計劃的變種已經在實驗室環境中研究了十多年，事實證明在現實世界中大規模執行是不切實際的。 Visa非常重視所有的安全威脅，我們孜孜不倦地加強整個生態系統的支付安全”。