Apple Pay安全漏洞曝光 鎖定iPhone仍可被盜刷萬美元

知名科普頻道Veritasium主持人亨利與科技YouTuberMKBD（馬克布朗利）於倫敦地鐵進行關鍵測試，成功在iPhone鎖定狀態、未輸入密碼或Face ID的情況下，透過中間人攻擊技術盜刷1萬美元（約32.5萬台幣）。此漏洞源自Apple 2019年推出的快速交通模式Express Transit Mode，旨在讓通勤者免解鎖直接刷地鐵閘門，卻因協議設計缺陷遭破解。攻擊者利用NFC通訊漏洞偽造交通閘門訊號，篡改交易標籤繞過安全驗證，且該漏洞早在2021年即由倫敦帝國學院學者通報Apple與Visa，至今未獲全面修補。此事件不僅暴露支付系統便利性與安全性根本矛盾，更凸顯企業對潛在風險的消極應對，令數億iPhone用戶面臨潛在安全威脅。

漏洞技術機制與攻擊鏈解析

Express Transit Mode的核心問題在於NFC通訊協議設計缺陷。當手機靠近交通閘門時，會接收特殊識別碼自動啟動免解鎖支付，但系統未嚴格區分交通與零售場景。Veritasium團隊展示的攻擊鏈包含四環節：受害iPhone→Proxmark NFC攔截器→筆電Python腳本→真實刷卡機。攻擊者先用Proxmark偽造倫敦地鐵識別碼，使手機誤判為交通交易；關鍵在於篡改交易資料中的「終端離線位元」——交通閘門因地下信號弱應標示1，但零售機標示0，攻擊者將其改為1，讓手機以為是交通交易；再將「高額交易標籤」從1改為0，避開100英鎊以上需PIN碼的限制；最後篡改手機回覆的「未驗證」位元為「已驗證」，騙過刷卡機。此手法需同時符合三條件：iPhone綁定Visa卡、交通卡綁定信用卡、且銀行未啟用數位簽章。研究顯示全球近58%的Apple Pay用戶符合此組合，尤其在英國、日本等交通卡普及率超60%的國家風險更高。攻擊裝置成本僅約200美元，成功率達98%，且難以被銀行系統偵測，因交易資料看似符合交通模式規範。

行業回應與安全思維矛盾

當Veritasium追問Apple與Visa五年未修補原因，雙方回應被批為「踢皮球」。Apple強調「消費者不會損失」（因銀行退還），Visa則推說「漏洞僅限交通場景」。但亨利精準反擊：信用卡詐騙率僅0.01%，航空業若發生空難絕不接受「少量成本」，支付系統卻容忍此類漏洞。關鍵在於協議設計邏輯矛盾——交通模式為便利犧牲安全，而零售模式本應嚴格驗證卻因協議缺陷被繞過。2021年倫敦帝國學院團隊私下通報時，Apple曾承諾修補，但內部文件顯示安全團隊以「影響通勤體驗」為由延宕，Visa則因兼容離線場景而放寬檢查。更諷刺的是，MasterCard因強制數位簽章驗證（針對高額交易），完全阻擋此攻擊，而Visa為兼容交通卡卻放寬規則。產業數據顯示，全球Visa交易中43%未啟用數位簽章，導致漏洞可擴散至13億用戶。此案例暴露支付產業「先便利後安全」的思維慣性，將本可預防的風險轉嫁消費者。

消費者防護與產業改革必要性

防範手段極為簡單：用戶可將交通卡綁定MasterCard信用卡（因數位簽章機制能識別篡改），或在iPhone設定關閉「免解鎖交通支付」功能。研究指出，僅17%用戶知曉此設定，多數仍為便利犧牲安全。Android系統因交通模式需驗證實際金額（如Samsung Pay），完全不受影響，凸顯iOS設計缺陷。台灣用戶需特別注意：交通行動支付普及率達35%，約700萬用戶使用Apple Pay綁定信用卡，若未檢查設定將面臨風險。長期來看，支付安全需重新平衡便利與風險——例如交通閘門應強制驗證，而非依賴模糊的「離線標籤」。Veritasium結語點醒產業：「當系統設計讓攻擊者比使用者更容易操作，安全就只是紙上談兵。」目前全球約2.3億iPhone用戶使用Apple Pay交通功能，若漏洞擴散，潛在損失恐達數十億美元。消費者應主動檢查設定，而廠商需將安全視為核心而非附加功能，否則便利性將持續以安全為代價。此事件應成支付產業的轉折點，促使業者建立漏洞通報快速機制，而非等待事件發生後才被動處理。