纽约地铁系统发现了一个不可原谅的安全漏洞,任何知道用户信用卡号码和有效日期的人都可以追踪到过去七天内的所有乘坐情况。
但更令人担忧的是,这一漏洞延伸到了使用Apple Pay连接车站的旅行中,尽管事实上这应该是完全不可能的……
虽然大多数地铁系统一开始都需要特殊的交通卡,但现在大多数地铁系统也接受非接触式支付卡,这种支付卡也允许你使用Apple Pay。
为了进一步简化进出障碍的流程,苹果后来推出了Apple Pay Express Transit。
如果你选择启用这项功能,那么通常的Apple Pay认证过程——在iPhone上使用Face ID或双击未解锁Apple Watch的侧边按钮——就不需要了。相反,你可以简单地点击你的手机或查看非接触式支付面板。
虽然如果有人实际占有您的设备,这可能会导致滥用,但交易被跟踪以确保使用模式与单个用户的正常使用相匹配,因此欺诈的风险非常低。Apple Pay的所有其他安全功能仍然有效,包括一次性密码。
早在2019年5月,纽约市地铁系统就开始推出Apple Pay快速公交系统,到2020年底,所有车站都可以使用Apple Pay。
纽约地铁系统由大都会运输管理局(MTA)运营。虽然MTA网站提供了开设账户的选项,但需要认证才能访问旅行日志,但它也提供了仅使用卡详细信息即可即时访问过去七天的旅行历史的功能。
您所需要的只是信用卡号码和有效日期—甚至不需要通常在实体支付卡背面找到的三或四位数安全码,也称为CSC、CVC或CCV。这意味着你需要获取上周票价的所有东西都可以在大多数支付卡的正面找到。
404Media证实了纽约地铁的这一隐私漏洞,他们在获得许可的情况下,只使用用户的信用卡信息跟踪用户。
Apple Pay就是为防止这种错误而设计的。代替发送你的实际支付卡的详细信息到支付终端,一次性代码,称为支付密码,被取代与设备号。
银行或金融公司可以通过算法将这两个数字与实际的信用卡账户相匹配,但苹果和商家都不应该访问你的支付卡详细信息。
在这种情况下,商家是MTA,不应该看到您的实际支付卡号码。然而,该网站发现,输入受害者的实体支付卡号仍然会显示他们使用Apple Pay进行的所有旅行。
MTA的安全漏洞在这里是不可原谅的。这是一个完全愚蠢的决定,允许没有身份验证的旅行历史请求。正如文章所说,这是对隐私的严重侵犯,很容易被跟踪者滥用。
但更令人担忧的是,在使用Apple Pay时,实际的支付卡数据会以某种方式被收集。
这应该是Apple Pay的核心安全和隐私要求,商家和苹果都无法看到你实际的信用卡详细信息,只能看到每笔交易的不同代码。这意味着,例如,如果一家公司的数据库被入侵,信用卡信息被获取,那么苹果支付购买时只能使用一次性代码和设备号,而这些数据将毫无用处。
如果其他人重复这个测试,似乎表明在某些情况下,Apple Pay交易可以将实际的实体卡详细信息传递给商家。这是绝对不可能的,需要苹果公司立即进行调查。
照片:MTA / CC2.0
