YouTube 頻道 Veritasium 近日發布影片,示範攻擊者利用 NFC 技術,從鎖定 iPhone 內 Apple Pay 連結的 Visa 卡盜取資金。知名 YouTuber Marques Brownlee 參與示範,其 iPhone 在鎖定狀態下被成功盜取一萬美元(約港幣 7.8 萬元)。
攻擊原理是欺騙 iPhone,令它誤認支付終端機為支援 Apple「特快模式」的公共交通裝置,從而繞過 Face ID 或 Touch ID 驗證。攻擊者先用 Proxmark NFC 讀卡器連接 iPhone 至手提電腦收集資料,再傳送至另一部手機觸碰預設金額的讀卡機完成交易。
此漏洞早於 2021 年由伯明翰大學及薩里大學研究人員發現,至今未修補。Apple 指問題出於 Visa 系統,並非 iPhone 本身。漏洞僅限 Visa 卡與 iPhone 組合,Mastercard、American Express 或 Samsung Pay 均不受影響。
Visa 回應指現實發生機會極低,用戶受零責任政策保障,可爭議任何交易。用戶可暫時關閉「特快模式」防範漏洞。開啟 Apple Wallet App,選擇 Visa 卡,按「更多」→「卡片詳細資料」→「特快交通卡設定」,在付款卡上選擇「無」去關閉此設定即可。
