Apple Pay、ちょっと冗談抜きでヤバイかも　勝手に決済される脆弱性が発覚

Apple PayのVISA、勝手に決済される脆弱性

　バーミンガム大学ならびにサリー大学の研究チームは、VISAカードをエクスプレスカードとして設定したiPhoneにおいて、Apple Payのロックをバイパスして、無制限に悪用できてしまう脆弱性を報告し、注意を促している。

　ちなみにこの脆弱性の詳細については、Appleが2020年10月、VISAが2021年5月に開示しており、脆弱性の深刻さを認めているものの、どちらが修正を実装すべきか合意に至っていない状態。研究チームは、逆に被害が拡大する前に脆弱性の詳細を明らかにした格好。

　非接触型決済方法として、Europay、Mastercard、VISA(略してEMV)がある。iPhoneのApple PayはEMVに対応しているが、支払いの際の利便性を高めるために、2019年5月にリリースしたiOS 12.3において、iPhoneをアンロックしなくても支払いできる「エクスプレスカード」機能を実装している。

　もっとも、エクスプレスカードの機能自体は、Suicaなどと同様であるため非接触型決済の弱点の1つとなっている。そのため各国で上限が定められており、一例として日本国内では2万円を上限として設定され、それを超える場合はユーザーが画面を操作して解除する必要がある。

　今回の攻撃は、VISAカードとApple Pay両方を組み合わせた場合でのみ発生する脆弱性を突いたもので、“中継”を行なうことで回避するというもの。具体的には、「Proxmark」と呼ばれるRFIDクローンデバイスでiPhoneのEMVを読み取り、NFC対応のAndroid端末にその情報を転送。そしてAndroid端末をカードエミュレータとして動作させるよう細工し、決済端末ことで決済を行なうというものだ。

　こうした動作を可能にしているのが「オフラインデータ認証」と呼ばれる、トランザクション処理が常にオンラインで行なわれるとは限らないデバイスなどに使用される機能。中継の際にこのオフラインデータ認証機能を使い、その際にカードトランザクション修飾子(CTQ)を変更して、ユーザーがデバイス上で操作を行なって認証したとリーダーを騙すことで、制限以上の金額を決済できる。

　脆弱性はまだ存在しているため、研究チームはVISAをApple Payのエクスプレスカードに設定しないよう注意を促している。なお、この脆弱性はApple PayとMastercardの組み合わせや、Samsung PayとVISAの組み合わせなどでは影響がない。

https://pc.watch.impress.co.jp/docs/news/1355709.html

なんだよこれぇ…

＞Appleが2020年10月、VISAが2021年5月に開示しており、脆弱性の深刻さを認めているものの、どちらが修正を実装すべきか合意に至っていない状態

>>2
草

>>2
ジャップしぐさかよ

>>2
わらた

>>2
えぇ

>>2
喧嘩してる場合かよw

>>2
えぇぇぇぇ

>>2
は？

>>2
遅延した時に京急浅草京成でなすりつけ合うあれ

やはり現金最強か…

ビューカード無いからどうでもいいわ

早く直せよ脆弱性
とりあえずカード削除した

アップさぁ…

>>1
はああああああああああああああああああああああああああああああああああああああああああああああああああああああああああ😱

Suica決済とかもヤバいよな
顔認証すらいらないんだから

スイカは2万しか使えないからヨシ！っておかしくね

エクスプレスカードオフにしといたらええやん

日本じゃエクスプレスカードにクレカ設定する意味が無いから問題無いぞ
無意味に設定してる奴はさっさと解除しとけ

クレ板見てるとApple Pay設定したらメインカードをエクスプレスカード設定しなきゃならんと思い込んでる人一定数いるんだよね
使いもしない設定見えるとこに置いてるAppleも悪いとは思う
クレカで改札通れるの喜ぶのインバウンドの外人だけだし日本仕様は隠しといていいわ
みんなsuicaかPASMO持ってるしな

AppleはWindowsと違って安全安心なんじゃなかったの

Androidひどすぎ