![Apple PayのVISA、勝手に決済される脆弱性](https://cdn-ak-scissors.b.st-hatena.com/image/square/619d7f5ce1a9970e8aa752e56ead1c6df59bc7b1/height=288;version=1;width=512/https%3A%2F%2Fpc.watch.impress.co.jp%2Fimg%2Fpcw%2Flist%2F1355%2F709%2F1.png)
英バーミンガム大学とサリー大学の研究チームが Apple Pay と Visa の脆弱性を組み合わせ、iPhone のロックを解除しないまま不正な非接触決済を実行する手法を発表している (バーミンガム大学のニュース記事、 研究成果、 9to5Mac の記事、 The Telegraph の記事)。 この手法は iPhone や Apple Watch を交通系 IC カードとして運賃支払いに使用するエクスプレスカード (英国では Express Travel) 機能を悪用するものだ。通常の Apple Pay 決済では端末のロック解除などユーザーの操作が必要だが、エクスプレスカードによる決済では必要ない。そのため、中間者攻撃により iPhone と交通系 IC カード決済端末との通信内容を一部改変し、一般の店舗で使用する EMV 非接触決済端末に中継することで、 iPhone をロックした
Visaの決済カードをエクスプレスカードとして使うと危ない?セキュリティ研究者が警鐘 2021 9/30 Apple Payのエクスプレスカードの利用時、Visaの決済カードを使用していると、知らずに現金が取られる可能性がある、と英大学研究者が警告しています。 認証なしでお金を動かせる? ロンドン交通局(TfL)の交通機関などでは、決済カードをエクスプレスカードとして設定しておくと、交通系ICカードを介さずに直接決済が可能となりますが、Visaカードを使用する場合は注意が必要である、とバーミンガム大学とサリー大学の研究者たちがBBCに語っています。 エクスプレスカードとは、Apple Payの機能のひとつで、指定のカードをあらかじめWalletに追加しておけば、交通機関の利用時にFace ID、Touch ID、パスコードなしでデバイスを読み取り機にかざすだけで入場が可能となります。 研究
こんにちは、臼田です。 『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2019に参加していますのでレポートします。 このブログは下記セッションについてのレポートです。 APIに起因するSSRF:Apple PayがWeb全体にいかに脆弱性をばらまいたか Presented by ジョシュア・マダックス 2016年WWDCはApple Pay Webの夜明けを見た。サイトがWebでのストア内にApple Payボタンを埋め込ませるAPIだ。Apple Pay Webをサポートするには、複雑なリクエストフロー、クライアント証明書、および、セッションサーバが要求される。Apple社が信頼できないURLを利用する際の重大な副作用への注意喚起を怠って以来、このことは有害であることを示した。結果として、多くの新たなSSRFの脆弱性が世界に入
2019年7月19日、警視庁はApple Payを不正使用し商品をだまし取ったとして詐欺容疑で女を逮捕しました。ここでは関連する情報をまとめます。 事案概要 逮捕されたのは中国人留学生 東京都新宿区 女 23歳。 詐欺容疑で警視庁戸塚署が2019年7月19日逮捕。 2019年7月18日23時30分~40分頃、仲間と共謀し、他人のクレジットカードが登録されたApple Payを不正に使用し、東京都新宿区内のコンビニで電子タバコカートリッジ4カートン(2万円相当)をだまし取った疑い。 女は当初「知人がインターネットで送ってきた他人名義のApple PayのIDで購入した」と供述。 逮捕後の取り調べでは「人をだましていない、何も知らない」として容疑を否認。 Apple Payの不正使用で摘発された事案は都内で初めてとなる。*1 発端 電子タバコ購入直後にクレジットカード会社から不正使用の疑いがあ
2019年6月13日、イオン銀行、イオンクレジットサービスは同社のサービスに対してリスト型攻撃による不正ログインが行われ、登録情報の変更などを通じてクレジットカードの不正利用が発生したと発表しました。ここでは関連する情報をまとめます。 公式発表 2019年6月13日発表 www.aeon.co.jp 被害の状況 イオンのクレジットサービスにおいて、不正ログイン(個人情報の盗み見)とカードの不正利用が発生した。 不正ログインされた会員数 1,917件 不正ログインの発生期間 2019年5月28日~6月3日(7日間) 不正利用されたカード会員数 708件 カード不正利用被害総額 22,044,816円 警視庁へ被害相談済み。 2019年5月31日にイオンは不正ログインの注意喚起を行っていた。 www.aeon.co.jp 盗み見られた可能性のある情報 不正ログイン後に第三者が以下の情報を盗み見
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く