你的手机锁着屏,钱却没了。这不是科幻片,是两位科技博主刚复现的漏洞。

五年前的旧账

打开网易新闻 查看精彩图片

2020年,苹果和维萨(Visa)就收到了同样的漏洞报告。没人修。

博主Veritasium用改装的公交卡终端,靠近MKBHD锁屏的iPhone,直接刷走10000美元。全程不需要解锁,不需要Face ID,甚至不需要联网。

漏洞藏在「快捷交通卡」功能里——地铁刷卡不用唤醒手机,本是便利,却成了后门。

为什么没人管

苹果和维萨的回应很一致:需要物理接触设备,风险可控。

但「物理接触」的门槛比想象中低。改装设备成本不到200美元,攻击距离可以扩展到几厘米。在拥挤的地铁、电梯里,你根本不会察觉。

更讽刺的是,这个漏洞只影响iPhone配维萨卡。万事达(Mastercard)的同功能就做了额外验证,苹果没强制要求。

安全设计的懒惰

这不是技术难题,是优先级问题。

快捷交通卡的用户体验优先于风控,跨境支付的合规成本高于漏洞修复,两家巨头互相推诿责任边界。五年过去,补丁至今没全量推送。

「我们知道,但觉得不严重」——这种心态比漏洞本身更危险。

当便利成为默认选项,用户连选择安全的权利都被剥夺了。