Apple Pay 및 Visa 결제 시스템에서 취약점이 발견되었습니다. 사기꾼이 보안 조치를 피하고 무제한 비접촉식 구매에 사용할 수 있는 버그를 발견한 후 연구원들은 iPhone 사용자에게 Apple Pay를 사용하여 Visa 교통카드를 취소할 것을 촉구했습니다.
버밍엄 대학과 서리 대학의 전문가들은 이 결함이 누군가 모르게 누군가의 가방에 있는 iPhone에서 거래를 수행하는 데 사용될 수 있다는 우려를 제기했습니다.
Apple Pay 및 Visa의 결제 시스템에 보안 결함이 있습니다.
이 문제는 Visa 카드가 Express Travel Card(Express Transit 모드라고도 함)로 설정된 경우 Apple Pay에서만 발생한다고 합니다. 팀은 간단한 무선 장비를 사용하여 iPhone이 실제로는 결제 판독기일 때 환승 게이트와 통신하고 있다고 믿도록 속였습니다. 이는 환승 게이트에서 보낸 고유한 코드를 감지하여 수행되었으며, 이 코드는 iPhone과 상점 카드 판독기 사이의 신호를 간섭하는 데 사용되었습니다.
버밍엄 대학의 Tom Chothia 박사는 다음과 같이 말했습니다. Apple Pay 사용자가 위험에 처할 필요는 없지만 Apple이나 Visa가 문제를 해결하기 전까지는 위험에 처해 있습니다.”
이 그룹의 테스트는 백엔드 사기 탐지 검사가 지불이 진행되는 것을 막을 수 없음을 발견했습니다. 연구원들은 Apple 및 Visa와 취약점에 대해 이야기했으며 둘 다 근본적인 문제의 중요성을 인정했지만 솔루션을 구현해야 하는 사람에 대한 합의에 아직 도달하지 못했다고 주장했습니다.
비자 대변인은 “비접촉식 사기 수법의 변형이 10년 이상 실험실 환경에서 연구되어 왔으며 현실 세계에서 대규모로 실행하는 것은 비현실적인 것으로 판명됐다”고 말했다. 그녀는 “Visa는 모든 보안 위협을 매우 중요하게 생각하며 우리는 생태계 전반에 걸쳐 결제 보안을 강화하기 위해 끊임없이 노력하고 있습니다.”라고 덧붙였습니다.
그러자 Apple은 “사용자의 보안에 대한 위협을 매우 심각하게 생각합니다. 이것은 Visa 시스템의 우려 사항이지만 Visa는 여러 계층의 보안이 적용되는 현실 세계에서 이러한 종류의 사기가 발생할 가능성이 있다고 생각하지 않습니다. 만약 승인되지 않은 결제가 발생하는 경우를 대비하여 Visa는 카드 소지자가 Visa의 무책임 정책에 의해 보호된다는 점을 분명히 했습니다.”
Apple과 Visa는 합의에 도달하지 못했습니다.
연구의 리더인 Andrea Radu 박사는 다음과 같이 말했습니다. “우리의 작업은 사용자에게 잠재적으로 심각한 재정적 결과와 함께 삶을 더 쉽게 만들고 역효과를 일으키고 보안에 부정적인 영향을 미치기 위한 기능의 명확한 예를 보여줍니다.”
“Apple 및 Visa와의 논의에서 두 업계 당사자가 각각 부분적인 책임을 지고 있을 때 어느 쪽도 책임을 받아들이지 않고 수정 사항을 구현하지 않아 사용자가 무기한 취약하다는 사실이 밝혀졌습니다.”라고 그는 덧붙였습니다.
이 보안 결함은 iPhone의 Mastercard 또는 Samsung Pay의 Visa와 같은 다른 조합에는 적용되지 않습니다. 연구원들의 완전한 연구 결과는 2022 IEEE Symposium on Security and Privacy에서 발표될 예정입니다.