来源:嘶吼RoarTalk
研究人员发现一种利用未解锁的 iPhone 使用 Apple Pay+visa 卡来发起无接触欺诈交易的方法。
背景知识
无接触 Europay, Mastercard, and Visa ( EMV ) 支付是一种快速和容易的支付方法,也逐渐成为一种支付的标准方式。但如果支付过程中没有用户输入,就会增加攻击面,尤其是中继攻击者可以在卡所有者不知情的情况下,通过构造卡和读卡器之间的消息来发起欺诈交易。通过智能手机 APP 的支付必须通过指纹、PIN 码、Face ID 等方式被用户确认,这使得中继攻击的威胁变得小了很多。
2019 年 5 月,Apple 引入一个新的功能—— "Express Transit/Travel" 功能,允许用户在非接触式终端上,快速使用 iPhone 或 Apple Watch 进行身份验证,无需通过人脸 ID 或触摸进行身份验证,甚至无需解锁手机。通过在 Apple Pay for Express Transit 中使用 EMV 卡,用户不必预先加载资金或将资金转换为转机费用。从理论上讲,这将大大简化这一过程。此外,Visa 也提出一种协议来预防此类针对卡的中继攻击。
Apple Pay Transport Mode 攻击
近日,英国伯明翰大学和萨里大学的研究人员分析发现 Visa 提出的中继攻击预防措施可以使用启用了 NFC 的安卓智能手机绕过。绕过攻击是针对 Apple Pay Transport 模式的,Apple Pay Transport Mode 攻击是一种主动的 MIMT(中间人)重放和中继攻击。攻击中需要 iPhone 将一个 visa 卡设置为 "transport card"(交通卡)。
如果非标准字节序列 ( Magic Bytes ) 位于标准 ISO 14443-A WakeUp 命令之前,Apple Pay 会将此视为与传输 EMV 读取器的交易。研究人员使用 Proxmark ( 读卡器模拟器 ) 与受害者的 iPhone 通信,使用启用了 NFC 的安卓手机(作为卡模拟器)与支付终端通信。Proxmark 和卡模拟器之间也需要通信。在实验中,研究人员将 Proxmark 连接到笔记本,通过 USB 连接,然后笔记本可以通过 WiFi 中继消息给卡模拟器。然后,Proxmark 可以通过蓝牙直接与安卓手机通信,安卓手机不需要 root。
攻击要求与受害者的 iPhone 处于比较近的距离。攻击中,研究人员首先重放 Magic Bytes 到 iPhone,就像交易发生在 EMV 读卡器上一样。然后,重放 EMV 消息时,需要修改 EMV 终端发送的 Terminal Transaction Qualifiers ( TTQ ) 来设置 EMV 模式支持和在线认证支持的 Offline Data Authentication ( ODA ) 位标记。在线交易的 ODA 是读卡器中使用的特征。如果交易在无接触的限额内,这些修改足以中继交易到非 transport 的 EMV 读卡器。
为中继超过无接触限额的交易,iPhone 发送的 Card Transaction Qualifiers ( CTQ ) 也需要修改来设置 Consumer Device Cardholder Verification Method 方法的位标记。这使得 EMV 读卡器相信设备用户认证已经执行了。iPhone 发送的 2 个消息中的 CTQ 值必须被修改。
PoC 视频参见:https://practical_emv.gitlab.io/assets/apple_pay_visa.mp4
如何应对?
研究人员已于 2020 年 10 月和 2021 年 5 月将发现分别发送给了苹果和 Visa 公司,但两家公司都没有修复该问题。相反,两家公司都将责任推给对方。Visa 还认为该漏洞的利用需要使用 root 手机,这需要很高的专业技能。研究人员建议用户不在 Apple pay 中使用 visa 作为交通卡。如果 iPhone 丢失或被盗,建议尽快激活 iPhone 的丢失模式,并停用该卡片。
相关研究成果已被安全顶级会议 2022 IEEE Symposium on Security and Privacy 录用,相关论文参见:https://practical_emv.gitlab.io/assets/practical_emv_rp.pdf
更多参见:https://practical_emv.gitlab.io/
