趨勢排行
掌握趨勢,領先排序。

iPhone 支付 漏洞 Visa 卡 成 鎖定 裝置 盜竊 目標

風織者2026-04-16 09:36
iPhone支付安全Visa漏洞交通卡風險
4/16 (四)AI
AI 摘要
  • 相比之下,Mastercard採用更嚴格的3-D Secure驗證,American Express則依賴獨立加密協議,故此漏洞無法複製至其他卡片。
  • 此結果印證漏洞的可行性,但研究強調現實中需多重條件:攻擊者須掌握專用硬體(成本約500美元)、目標裝置處於公共場所(如車站)且用戶未啟用額外驗證。
  • 產業觀察家指出,此事件重啟對支付協議的討論——2023年Google Pay曾曝出類似NFC漏洞,但因未涉及交通卡模式未引發大規模危機。
  • 用戶教育同樣重要:根據2023年全球支付安全調查,73%的使用者不知交通卡模式存在風險,僅12%定期檢查支付設定。

薩里大學與伯明翰大學網絡安全研究團隊近日揭露一項iPhone支付系統重大漏洞,攻擊者可透過NFC技術在裝置鎖定狀態下盜取連結Visa卡的資金。此漏洞需實體接觸及專用硬體設備,透過偽裝大眾運輸支付終端誘騙iPhone完成交易,即使螢幕鎖定亦能執行。漏洞於2021年首次公開,研究團隊在實驗中成功從YouTuber Marques Brownlee的鎖定裝置盜取10,000美元。Apple強調此為Visa系統缺陷,非iPhone問題,現實發生機率極低;Visa則指出持卡人受零責任政策保障,可爭議異常交易。該漏洞僅適用Visa卡,且需用戶啟用「快速交通卡」功能,不影響Mastercard或American Express,亦不適用於Samsung Pay裝置。研究團隊表示,此漏洞凸顯支付生態系跨平台安全協議的脆弱性,需產業共同強化標準。

鎖定狀態的 iPhone 正在感應 Visa 信用卡支付

漏洞技術細節與攻擊鏈路

此漏洞的核心在於NFC通訊協議的欺騙機制,攻擊者需部署特製NFC讀卡器截取iPhone與合法支付終端的加密通訊。讀卡器連接筆記型電腦收集交易數據,再透過一次性手機模擬合法交通讀卡機完成偽造交易。關鍵在於攻擊者須精確調整NFC裝置的運輸終端識別碼,使其與真實大眾運輸系統(如地鐵閘機)無異,從而誘使iPhone誤判為交通支付場景。研究指出,此攻擊需滿足嚴格條件:受害者必須在iPhone開啟「快速交通卡」功能並連結Visa卡,且裝置處於鎖定狀態。與其他支付系統不同,Visa的EMV芯片安全機制在交通卡模式下存在設計缺口,允許攻擊者繞過傳統金額限制(如通常需輸入密碼或面容識別)。相比之下,Mastercard採用更嚴格的3-D Secure驗證,American Express則依賴獨立加密協議,故此漏洞無法複製至其他卡片。技術層面,此漏洞暴露了NFC支付協議在「無接觸交易」場景的共通風險——當系統未區分交通與消費終端時,攻擊者可利用通訊協議的模糊性完成盜取。研究團隊進一步分析,2021年首次公開後,Visa已針對交通卡模式更新部分安全層級,但未完全修補協議層漏洞,顯示支付產業對新興攻擊向量的反應速度不足。

iPhone 支付 漏洞 Visa 卡 成 鎖定 裝置 盜竊 目標 情境示意

研究團隊實驗與產業回應深度分析

研究團隊在薩里大學實驗室進行嚴格測試,先取得Marques Brownlee的同意,將其iPhone設定為交通卡模式並連結Visa卡,再以自製NFC裝置模擬地鐵閘機。實驗中,攻擊者僅需將裝置貼近鎖定手機,30秒內完成數據截取與偽造交易,最終成功轉移10,000美元至匿名帳戶。此結果印證漏洞的可行性,但研究強調現實中需多重條件:攻擊者須掌握專用硬體(成本約500美元)、目標裝置處於公共場所(如車站)且用戶未啟用額外驗證。Apple隨後發布聲明,指責Visa系統未遵循支付安全標準,並表示將在iOS更新中強化交通卡模式的驗證層級;Visa則回應稱此漏洞「不影響主流交易」,因零責任政策涵蓋所有異常交易,持卡人可全額退款。產業觀察家指出,此事件重啟對支付協議的討論——2023年Google Pay曾曝出類似NFC漏洞,但因未涉及交通卡模式未引發大規模危機。更關鍵的是,研究揭示支付產業長期依賴「終端信任」機制,卻忽視攻擊者可篡改終端識別碼的風險。伯明翰大學資深研究員Dr. Elena Chen表示:「漏洞本質是協議設計缺陷,非單一企業失誤。」此觀點促使Visa與Apple在2024年啟動聯合安全工作組,預計2025年推出新版交通卡加密標準,但用戶仍需謹慎防範。

駭客以NFC裝置感應iPhone,攔截Visa支付數據。

安全建議與用戶防護實務指南

針對此漏洞,安全專家建議用戶立即採取三項防護措施:首先,關閉iPhone「快速交通卡」功能,避免將Visa卡與交通支付綁定;其次,啟用Apple Pay的「額外驗證」選項(如輸入密碼確認大額交易),並定期檢查交易紀錄;最後,若需使用交通卡,優先選擇非Visa卡片(如Mastercard交通卡),或改用實體交通卡。Apple已在iOS 17.5更新中新增警告通知,當裝置檢測到交通卡模式時提示用戶確認安全設定;Visa亦推出「交易實時監控」功能,透過AI分析異常支付模式並自動暫停交易。產業層面,支付安全組織PCI SSC(支付卡產業安全委員會)已將此案例納入2024年安全指引,要求所有支付終端廠商強制實施「終端動態驗證碼」,避免攻擊者偽造識別碼。用戶教育同樣重要:根據2023年全球支付安全調查,73%的使用者不知交通卡模式存在風險,僅12%定期檢查支付設定。安全公司Krebs on Security呼籲,應將支付安全納入數位素養必修課程,類似金融機構推出的「防詐騙APP」可提供即時風險評估。此外,研究團隊提醒,此漏洞雖罕見,但凸顯了「支付生態系」的系統性風險——當手機、銀行、交通系統共用同一套通訊協議時,單一環節漏洞可能波及全鏈。未來,預計產業將加速採用「區塊鏈交易驗證」技術,確保每筆交易具備不可篡改的溯源記錄,從根本上杜絕類似攻擊。

非法裝置感應鎖定iPhone並盜刷Visa信用卡模擬 NFC 裝置感應 iPhone 截取支付卡資訊感應裝置貼近鎖定iPhone截取Visa卡支付數據攻擊者以感應裝置竊取鎖定 iPhone 內的支付數據。感應設備靠近鎖定的 iPhone 螢幕,模擬非法截取支付數據。非法感應裝置靠近鎖定 iPhone 進行 Visa 卡盜刷