セキュリティ研究者は本日、Visa カードの脆弱性、具体的には iPhone の Apple Pay の Express Transit (英国ではこの機能は Express Travel と呼ばれています) のデフォルト カードとして Visa カードが設定されている場合の脆弱性に関する調査結果を発表しました。
テレグラフが共有したデモでは、ハッカーがデバイスを物理的に所有している場合、非接触システムを騙して任意の取引を実行し、ロックされたiPhoneから金銭を盗むことができることが示された。
Apple Pay Express Transitは、ロンドン地下鉄などの交通機関でFace IDやTouch IDによる認証なしで非接触決済を可能にし、改札でのタッチ操作の時間を節約します。交通機関の取引上限額が低く、1日あたりの利用限度額も設定されているため、認証がなくても問題ないと考えられています。
しかし、セキュリティ研究者たちは、悪意のあるハッカーが公共交通機関の端末の動作を模倣したダミーの決済端末を作成し、Apple Pay Express Transitカードが使えるようにしつつ、金額に上限がないように見えることを明らかにしました。その結果、研究者たちはロックされたiPhoneで、認証を一切必要とせずに1000ポンドの取引を実行することができました。
Appleは、Visaのシステムに欠陥があり、不正な支払いはVisaのゼロ・ライアビリティ・ポリシーの対象となると述べた。Visaは、「非接触型不正行為の手口は10年以上にわたり実験室で研究されてきたが、現実世界で大規模に実行することは不可能であることが証明されている」と述べた。
この脆弱性はVisaカードに特有のものです。MastercardまたはAmerican Expressカードと連携したApple Pay Express Transitには脆弱性はありません。
ciniw.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
