一个从2021年活到现在、涉及1万美元资金漏洞的安全问题,苹果和Visa互相踢了三年皮球。
漏洞是怎么被发现的
伯明翰大学教授Ioana Boureanu和Tom Chothia在研究中锁定了一个极窄的攻击面:Express Transit(快捷交通卡)功能。
这个功能的设计初衷很贴心——地铁闸机前不用解锁手机,直接刷就能进站。但两位教授发现,这个"便捷"成了突破口。
攻击路径如下:伪造一个看起来像地铁闸机的设备→诱骗iPhone以为是合法交通终端→绕过锁屏验证→直接发起支付请求。
整个过程不需要知道你的锁屏密码,不需要面容识别,甚至不需要你掏出手机。
Veritasium频道发布的演示视频里,研究人员在受控环境中成功转出了1万美元。这个数字不是理论上限,而是他们测试时设定的具体金额。
为什么偏偏是Visa
这里有个关键限制条件:被设为快捷交通卡的必须是Visa卡。Mastercard和其他卡组织不受影响。
苹果对此的回应是:问题出在Visa那边。
Visa的回应更有意思:一方面承诺"零责任保障"会赔付用户损失,另一方面强调真实场景中"极不可能"被利用——尽管承认在受控环境下确实可行。
这套话术翻译过来就是:我们知道有问题,但觉得没人能真的做出来,真出了事我们赔钱就是了。
一个支付巨头的安全策略,居然建立在"攻击者大概没那么聪明"的假设上。
三年未修的真正原因
这个漏洞从2021年存在至今。苹果的安全更新日志密密麻麻,但这个特定问题始终没被彻底封堵。
核心矛盾在于:Express Transit的设计本身就是对安全边界的主动退让。为了"快",系统必须降低验证强度——否则地铁高峰期排队解锁手机的画面太美。
苹果的选择是:把风险转嫁给特定卡组织(Visa),同时用"受控环境才能复现"来降低优先级。
Visa的选择是:用保险机制兜底,而不是修改协议层面的验证逻辑。
双方都算过账。修复需要改动底层通信协议,可能影响数亿用户的日常通勤体验;不修复的话,实际损失案例至今未见公开报道。
这1万美元的演示金额,某种程度上成了双方博弈的定价锚点——够吓人,但还没吓人到大动干戈。
用户该怎么办
如果你用的是iPhone,检查设置→钱包与Apple Pay→快捷交通卡。
如果绑了Visa卡,且你特别在意这个风险,可以关闭该功能或换绑其他卡组织。Mastercard用户目前可以当这件事不存在。
更现实的观察是:这个漏洞的利用门槛极高。攻击者需要:物理接近你的手机、专业设备伪造交通终端、精准触发时机、且目标恰好是Visa快捷交通用户。
Visa的"极不可能"评估,在概率层面未必错误。但安全行业的尴尬在于:一旦攻击方法被公开演示,"不可能"的含金量就会随时间递减。
Veritasium视频发布的真正价值,是把一个沉睡三年的技术债务拖到了阳光下。现在球回到了苹果和Visa脚下——继续踢,还是有人先弯腰捡起来?
热门跟贴