Apple Pay 可被滥用以从锁定的 iPhone 进行非接触式支付
概括
对于任何在交通模式下设置了 Visa 卡的 iPhone,Apple Pay 锁屏都可以绕过。也可以绕过非接触式限制,允许从锁定的 iPhone 进行无限制的 EMV 非接触式交易。
攻击者只需要一部被盗的、已开机的 iPhone。交易也可以在某人不知情的情况下从某人包里的 iPhone 转发。攻击者不需要商家的帮助,
后端欺诈检测检查也没有停止我们的任何测试付款。下面我们提供了一个视频演示,并进一步播放了从锁定的 iPhone 到标准商店 EMV 阅读器的 1000 英镑付款的视频。
这种攻击是由 Apple Pay 和 Visa 系统中的缺陷组合而成的。例如,它不会影响 Apple Pay 上的 Mastercard 或 Samsung Pay 上的 Visa。
我们的工作包括正式建模,表明 Apple 或 Visa 可以自行缓解这种攻击。我们在几个月前通知了他们,但他们都没有修复他们的系统,所以漏洞仍然存在。
我们建议所有 iPhone 用户检查他们是否没有在交通模式下设置 Visa 卡,如果他们这样做,他们应该禁用它。
演示视频
该视频解释了攻击中涉及的所有设备以及它们如何相互作用。该视频包含保护个人银行信息的编辑。
细节
非接触式 Europay、万事达卡和 Visa ( EMV ) 支付是一种快速简便的支付方式,并且正日益成为一种标准的支付方式。但是,如果可以在没有用户输入的情况下进行支付,这会增加攻击者的攻击面,尤其是中继攻击者,他们可以在所有者不知情的情况下在卡和读卡器之间传送消息,从而实现欺诈支付。通过智能手机应用程序付款通常必须由用户通过指纹、PIN 码或面容 ID 进行确认。这使得中继攻击的威胁较小。
但是,Apple Pay 引入了“快速交通/旅行”功能(2019 年 5 月),出于可用性目的,该功能允许在不解锁手机的情况下在交通票务检查站使用 Apple Pay。我们表明,可以利用此功能绕过 Apple Pay 锁定屏幕,并使用 Visa 卡从锁定的 iPhone 非法向任何 EMV 读卡器支付任何金额,无需用户授权。
此外,Visa 还提出了一项协议来阻止此类针对卡的中继攻击。我们表明可以使用一对支持NFC 的Android 智能手机绕过 Visa 提出的中继对策,其中一个是 root 的。
我们提出了一种新的中继电阻协议L1RP,基于我们的发现,即 EMV 距离边界可以在级别 1(ISO 14443-A)比级别 3(EMV 应用程序)更可靠。我们正式验证了我们的 L1RP协议,并使用Tamarin证明它是安全的 。
Apple Pay 传输模式攻击解释
针对 Apple Pay 传输模式的攻击是一种主动 的中间人 重放和中继攻击。它需要 iPhone 将 Visa 卡(信用卡或借记卡)设置为“交通卡”。
如果非标准字节序列 ( Magic Bytes ) 位于标准 ISO 14443-A WakeUp 命令之前,Apple Pay 会将此视为与传输EMV 读取器的交易 。
我们使用Proxmark(这将充当读卡器模拟器)与受害者的 iPhone 进行通信,并使用支持 NFC 的 Android 手机(充当卡模拟器)与支付终端进行通信。Proxmark 和卡模拟器需要相互通信。在我们的实验中,我们将 Proxmark 连接到笔记本电脑,并通过 USB 与笔记本电脑进行通信;然后笔记本电脑通过 WiFi 将消息中继到卡模拟器。Proxmark 还可以通过蓝牙直接与 Android 手机通信。Android 手机不需要root。
攻击需要靠近受害者的 iPhone。这可以通过将终端模拟器靠近 iPhone 来实现,而其合法所有者仍然拥有,偷窃或寻找丢失的手机。
该攻击通过第一重放的魔术字节到iPhone,使其相信该交易与运输EMV读卡器发生。其次,在转发EMV 消息时,需要修改 EMV 终端发送的终端交易限定符 (TTQ),以便支持在线授权和EMV 模式的离线数据认证 (ODA)位(标志) 设置。在线交易的离线数据认证是一种用于特殊用途读卡器的功能,例如交通系统入口门,其中 EMV 读卡器的连接可能会断断续续,并且交易的在线处理不能总是发生。如果交易低于非接触式限制,这些修改足以允许将交易中继到非传输 EMV 阅读器。
为了在非接触式限制上中继交易,需要修改由 iPhone 发送的卡交易限定符 (CTQ),以便设置消费设备持卡人验证方法的位(标志)。这会诱使 EMV 阅读器相信已执行设备上用户身份验证(例如通过指纹)。CTQ 值出现在iPhone 发送的两条消息中,并且在两次出现时都必须更改。
从锁定的 iPhone 中收取 1000 英镑的接力赛视频 :