iPhone鎖定螢幕驚現資安漏洞?快捷交通功能遭破解惹盜刷疑慮

商傳媒|記者顏康寧/綜合外電報導

知名科普 YouTube 頻道 Veritasium 近日發布一段震撼影片,揭露一個自 2021 年發現至今仍未修復的 iPhone 安全漏洞。研究顯示,透過偽裝成大眾運輸感應器的特定手法,攻擊者能在手機處於鎖定狀態且無需任何生物辨識驗證的情況下,從綁定 Visa 卡的 Apple Pay 中提取高達 1 萬美元的資金。儘管 Apple 與 Visa 雙方均強調此類攻擊在現實生活中極難實現,但此一針對「快捷交通」(Express Transit)功能的技術漏洞,再度引發全球使用者對行動支付安全性的高度關注。

根據《Veritasium》與資安專家 Ioana Boureanu 及 Tom Chothia 教授的示範,這項攻擊核心在於利用 iPhone 內建的「快捷交通」功能。為了方便通勤族快速通過閘門,該功能允許手機在不解鎖的情況下進行感應扣款,卻也因此成為駭客入侵的破口。

三大技術謊言:破解安全防線

影片中展示了如何透過中間人攻擊(Man-in-the-Middle),利用無線裝置攔截並篡改 iPhone 與讀卡機之間的通訊數據:

  1. 偽裝身分: 首先發送特定程式碼,欺騙 iPhone 誤認該扣款設備為地鐵或巴士的「交通感應器」[00:07:05]。
  2. 竄改屬性: 攔截扣款請求,將零售刷卡機的「在線(Online)」訊號修改為交通卡慣用的「離線(Offline)」狀態,規避初步驗證。
  3. 標註低價值: 關鍵點在於,iPhone 並不核對具體金額,而是判讀數據中的「高/低價值標籤」。駭客將 1 萬美元的請款標籤改為「低價值」,藉此繞過密碼或 FaceID 的驗證需求。

漏洞侷限性與官方回應

值得注意的是,此漏洞僅限於在「快捷交通」中設定為 Visa 信用卡的使用者;Mastercard 由於採用了更嚴謹的非對稱加密驗證流程,因此能有效防禦此類篡改手法。

對此,Apple 表示這屬於 Visa 系統端的邏輯問題;而 Visa 則發表聲明指出,此類攻擊在高度受控的實驗室環境外極難複製。Visa 同時強調,其持卡人享有「零責任政策(Zero Liability Promise)」保障,若遭遇此類詐騙,損失將由銀行或發卡機構承擔,使用者無須過度恐慌。

頭條留言
商傳媒
商傳媒https://sunmedia.tw/
商傳媒是一個提供財經、科技、智慧製造、醫療、產業資訊,為主要服務內容的金融、科技網路媒體,其宗旨在於提供台灣中小企業一個產品新聞的平台,未來更將推廣至世界各國!
- 廣告 -
- 廣告 -

最新文章

2026竹山國際茶道節圓滿落幕 熱絡人潮展現茶鄉觀...

墨新聞|記者張游舜/台北報導  為期9天的「202...

埔里鎮與日本出水市締結姊妹市九週年 捐贈麒麟花見證...

墨新聞|記者張游舜/台北報導 為慶祝台灣南投縣埔...

高雄市小港戶政所攜手NGO辦理新住民健康講座 從防...

墨新聞|記者魏思霖/高雄報導小港戶政事務所與(高雄...

「電腦展觀察」COMPUTEX點燃AI主戰場 全球...

商傳媒|魏益權/台北報導COMPUTEX 2026...

《小小夢魘 2 強化版》登陸Switch 2 畫質...

萬代南夢宮娛樂宣布,Nintendo Switch 2版《小小夢魘2 強化版》實體版已於5月29日正式上市,數位版則預計於6月4日推出。作為廣受玩家好評的懸疑冒險作品,本次移植至Nintendo Switch 2平台後,針對畫面表現與視覺效果進行強化,藉由新一代主機性能提升,帶來更細膩的場景刻畫與更加沉浸的恐怖氛圍,讓玩家得以重新體驗這段充滿未知與壓迫感的冒險旅程。