研究員 Yunusov 首先示範第一種攻擊方式。
攻擊者需要事先將惡意軟體感染一台已經越獄的設備,一旦感染就可以截獲支付交易的數據,這針對的是 Apple Pay 中專門處理支付交易的 Secure Enclave 空間的漏洞。
第二種攻擊則不需要越獄,在公共 WiFi 或者提供偽造的 WiFi 熱點欺騙用戶連入,藉由篡改於 SSL 支付流量中的交易資訊。
攻擊者可以修改交易數據,比如修改交易金額或者交易使用的貨幣種類,或者下單貨物的送達情況。
攻擊者可以把竊取的信用卡資料綁定到自己的帳號上,然後冒用受害者的身份進行支付。