調査により、ApplePayとVisaの支払いシステムに脆弱性が見つかりました。 詐欺師がセキュリティ対策を回避し、無制限の非接触型決済を行うために使用する可能性のあるバグを見つけた後、研究者はiPhoneユーザーにApplePayを使用した交通カードとしてのVisaをキャンセルするよう促しました。
バーミンガム大学とサリー大学の専門家は、この欠陥が、知らないうちに誰かの荷物の中でiPhoneからトランザクションを実行するために使用される可能性があるという懸念を表明しました。
ApplePayとVisaの支払いシステムにセキュリティ上の欠陥があります
この問題は、Visaカードがエクスプレストラベルカード(エクスプレストランジットモードとも呼ばれる)として設定されている場合にのみApplePayで発生すると言われています。 チームは、単純な無線機器を使用して、iPhoneをだまして、実際には支払いリーダーであるときにトランジットゲートと通信していると信じ込ませました。 これは、トランジットゲートから送信された一意のコードを検出することで実現されました。このコードは、iPhoneとショップカードリーダーの間の信号を妨害するために使用されました。
バーミンガム大学のTomChothia博士は、次のように述べています。「iPhoneの所有者は、交通機関の支払い用にVisaカードが設定されているかどうかを確認し、設定されている場合は無効にする必要があります。 Apple Payユーザーが危険にさらされる必要はありませんが、AppleまたはVisaがこれを修正するまでは危険です。」
グループのテストでは、バックエンドの不正検出チェックでは支払いの通過を防ぐことができなかったことがわかりました。 研究者たちは、脆弱性についてAppleとVisaと話し合い、根本的な問題の重要性を認めているが、誰が解決策を実装すべきかについてはまだ合意に達していない、と述べた。
「非接触型詐欺スキームのバリエーションは、10年以上にわたって実験室で研究されており、現実の世界で大規模に実行することは非現実的であることが証明されています」とVisaの広報担当者は述べています。 「Visaはすべてのセキュリティの脅威を非常に深刻に受け止めており、エコシステム全体の支払いセキュリティを強化するためにたゆまぬ努力をしています」と彼女は付け加えました。
その後、Appleは次のように答えました。「私たちはユーザーのセキュリティに対するあらゆる脅威を非常に深刻に受け止めています。 これはVisaシステムの懸念事項ですが、Visaは、セキュリティが多層化されていることを考えると、この種の詐欺が現実の世界で発生する可能性は低いと考えています。 万が一、不正な支払いが発生した場合、Visaは、カード所有者がVisaのゼロ責任ポリシーによって保護されていることを明確にしました。」
AppleとVisaは合意に達することができませんでした
調査のリーダーであるAndreeaRadu博士は、次のようにコメントしています。
「AppleとVisaとの話し合いでは、2つの業界関係者がそれぞれ部分的な責任を負っている場合、どちらも責任を受け入れて修正を実装する意思がなく、ユーザーが無期限に脆弱になることが明らかになりました」と彼は付け加えました。
セキュリティ上の欠陥は、iPhoneのMastercardやSamsungPayのVisaなどの他の組み合わせには適用されません。 研究者の完全な調査結果は、セキュリティとプライバシーに関する2022IEEEシンポジウムで発表されます。