研究人員發現一種利用未解鎖的iPhone使用Apple Pay+visa卡來發起無接觸欺詐交易的方法。

　　背景知識

　　無接觸Europay, Mastercard, and Visa （EMV）支付是一種快速和容易的支付方法，也逐漸成為一種支付的標準方式。但如果支付過程中沒有用戶輸入，就會增加攻擊面，尤其是中繼攻擊者可以在卡所有者不知情的情況下，通過構造卡和讀卡器之間的消息來發起欺詐交易。通過智能手機APP的支付必須通過指紋、PIN碼、Face ID等方式被用戶確認，這使得中繼攻擊的威脅變得小了很多。

　　2019年5月，Apple引入一個新的功能——“Express Transit/Travel”功能，允許用戶在非接觸式終端上，快速使用iPhone或Apple Watch進行身份驗證，無需通過人臉ID或觸摸進行身份驗證，甚至無需解鎖手機。通過在Apple Pay for Express Transit中使用EMV卡，用戶不必預先加載資金或將資金轉換為轉機費用。從理論上講，這將大大簡化這一過程。此外，Visa也提出一種協議來預防此類針對卡的中繼攻擊。

Apple Pay Transport Mode攻擊

　　近日，英國伯明翰大學和薩里大學的研究人員分析發現Visa提出的中繼攻擊預防措施可以使用啟用了NFC的安卓智能手機繞過。繞過攻擊是針對Apple Pay Transport模式的，Apple Pay Transport Mode攻擊是一種主動的MIMT（中間人）重放和中繼攻擊。攻擊中需要iPhone將一個visa卡設置為“transport card”（交通卡）。

　　如果非標準字節序列 （Magic Bytes） 位于標準 ISO 14443-A WakeUp 命令之前，Apple Pay 會將此視為與傳輸EMV 讀取器的交易。研究人員使用Proxmark （讀卡器模擬器）與受害者的iPhone通信，使用啟用了NFC的安卓手機（作為卡模擬器）與支付終端通信。Proxmark和卡模擬器之間也需要通信。在實驗中，研究人員將Proxmark連接到筆記本，通過USB連接，然后筆記本可以通過WiFi中繼消息給卡模擬器。然后，Proxmark可以通過藍牙直接與安卓手機通信，安卓手機不需要root。

　　攻擊要求與受害者的iPhone處于比較近的距離。攻擊中，研究人員首先重放Magic Bytes到iPhone，就像交易發生在EMV讀卡器上一樣。然后，重放EMV消息時，需要修改EMV終端發送的Terminal Transaction Qualifiers （TTQ）來設置EMV模式支持和在線認證支持的Offline Data Authentication （ODA）位標記。在線交易的ODA是讀卡器中使用的特征。如果交易在無接觸的限額內，這些修改足以中繼交易到非transport的EMV讀卡器。

　　為中繼超過無接觸限額的交易，iPhone發送的Card Transaction Qualifiers （CTQ）也需要修改來設置Consumer Device Cardholder Verification Method方法的位標記。這使得EMV讀卡器相信設備用戶認證已經執行了。iPhone發送的2個消息中的CTQ值必須被修改。

　　PoC視頻參見：https://practical_emv.gitlab.io/assets/apple_pay_visa.mp4

　　如何應對？

　　研究人員已于2020年10月和2021年5月將發現分別發送給了蘋果和Visa公司，但兩家公司都沒有修復該問題。相反，兩家公司都將責任推給對方。Visa還認為該漏洞的利用需要使用root手機，這需要很高的專業技能。研究人員建議用戶不在Apple pay中使用visa作為交通卡。如果iPhone丟失或被盜，建議盡快激活iPhone的丟失模式，并停用該卡片。