ニューヨークの MTA 地下鉄システムの人々の利用状況を追跡することができた研究者は、同じ方法論で次のような問題が明らかになったと述べています。Apple Pay脆弱性 — しかし、実際に脆弱性があるかどうかは不明です。
ニューヨーク市がすべての地下鉄駅に Apple Pay のサポートを追加2020年に戻って、後遅れた計画Apple の Express Transit サービスを利用します。
現在、ジョセフ・コックス404メディア、と主張する発見したMTA のシステムには驚くほど貧弱な弱点があり、それが Apple Pay にも影響を与えるということです。コックス氏は、クレジットカードの詳細を使用して旅行者を追跡したことを詳しく説明し、それ以上の説明はせずに、はるかに安全と思われるApple Payで支払った場合にも同様のことが可能であると述べた。
「私はアパートの中に座って、ニューヨーク市の地下鉄を運営する都市交通局(MTA)のウェブサイトの特集を通じて彼らの動きを追っていた」とコックス氏は書いている。 「彼らの同意を得て、私は乗客のクレジットカード情報(多くの場合、犯罪市場から簡単に購入できたり、虐待的なパートナーが入手するのは簡単かもしれないデータ)を入力し、それを地下鉄の非接触型サービスであるOMNYのMTAサイトに入力しました。支払いシステム。」
「数秒後、サイトはライダーの過去 7 日間の旅行履歴を大量に作成しました。他の検証は必要ありませんでした。」と彼は続けた。
もし正しければ、これは間違いなく MTA にとって重大なセキュリティ問題です。 MTAはコックス氏への電子メールで「顧客のプライバシーの維持に努めている」と強調し、旅行者の入国地点のみを記録しており、出国地点は記録していないことを指摘した。
しかし、それはナンセンスです。なぜなら、ストーカーやその他の犯罪者は、旅行者が帰国するのを待つだけで、おそらく全ルートを把握できるからです。
したがって、MTA のシステムには欠陥がありますが、本当の問題は Apple Pay に関するものです。Apple Pay はクレジット カード関連のセキュリティ問題の影響を受けないはずだからです。取引の時点では、Apple Pay はユーザーのクレジット カード情報をまったく伝えず、1 回限りの確認コードを提供します。
その結果、コックスは次のように結論付けています。404メディアApple Pay が使用されているときに同じ追跡を実行できる可能性があり、Apple Pay が侵害されていると主張しています。
しかし、その結果はまだ再現されておらず、何がトランザクションのポイントとなるのかという問題もあります。
Cox 氏はこの問題についてあまり明確ではありませんが、ユーザーの MTA 履歴にアクセスするには、クレジット カードの詳細を入力するだけで済んだと述べています。これらは確かに、ユーザーが MTA の OMNY 非接触型決済システムに登録したカードの詳細と同じです。
したがって、旅行者がアップルカード、たとえば、そのアカウントでの支払いが改札口でトリガーされた場合、妥協とは思われません。
「乗客がApple Payを使用する場合、MTAウェブサイト機能がどのように機能するかを明確にするよう求められたが、Appleは応じなかった」とコックス氏は書いた。
Isamu 
Isamu 
Isamu