NUOVE MINACCE

Apple Pay, pagamenti contactless a rischio sull’iPhone: c’è un bug non ancora corretto

Sfruttando una vulnerabilità non risolta in Apple Pay è possibile effettuare pagamenti contactless fraudolenti sul circuito Visa senza alcun limite di spesa, anche se l’iPhone è bloccato e quindi senza alcuna interazione da parte dell’utente. Ecco tutti i dettagli in attesa di una patch risolutiva

30 Set 2021
Paolo Tarsitano

Editor Cybersecurity360.it

È stato scoperto un metodo per effettuare pagamenti fraudolenti in modalità contactless utilizzando Apple Pay, il portafoglio digitale presente su tutti gli iPhone, gli Apple Watch, i Mac e gli iPad.

La vulnerabilità, scoperta da cinque ricercatori delle Università di Birmingham e del Surrey nel Regno Unito, può essere descritta come la versione digitale del classico borseggio.

Gli accademici hanno infatti trovato il modo per effettuare pagamenti fraudolenti sfruttando la modalità di pagamento “Carta rapida trasporti” disponibile in Apple Pay e bypassando la schermata di blocco dell’iPhone.

Apple Pay: il bug nei pagamenti contactless

In particolare, stando a quanto riferiscono i ricercatori, il bug in Apple Pay si presenta quando sull’iPhone si abilita una carta Visa in modalità “Carta rapida trasporti” per effettuare rapidamente i pagamenti sui trasporti pubblici o nei parcheggi.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati

Un eventuale sfruttamento della vulnerabilità potrebbe quindi consentire a un attaccante di bypassare la schermata di blocco dell’iPhone ed effettuare pagamenti contactless senza dover digitare il codice di accesso e senza dovere eseguire la convalida con Face ID o Touch ID. E, soprattutto, senza che la vittima della frode si accorga di nulla in quanto tutta la procedura avviene da remoto mentre magari l’iPhone è riposto in tasca o nella borsa.

La modalità “Carta rapida trasporti”, infatti, è stata volutamente sviluppata proprio per facilitare e velocizzare i pagamenti di piccoli importi: se è attiva, è sufficiente avvicinarsi al terminale di pagamento o al tornello per ottenere subito il biglietto del parcheggio, del bus o della metropolitana senza neppure prendere in mano l’iPhone per sbloccarlo.

Attacco man-in-the-middle replay and relay: ecco come funziona

Tipicamente, la modalità “Carta rapida trasporti” funziona in presenza di tornelli o varchi di accesso compatibili che, nel momento in cui il possessore dell’iPhone si avvicina, inviano una sequenza non standard di byte espressamente progettata per bypassare la schermata di blocco di Apple Pay.

Sfruttando questa particolare caratteristica, i ricercatori inglesi hanno quindi riprodotto un attacco di tipo man-in-the-middle replay and replay che ha consentito loro di emulare il funzionamento di un terminale di pagamento e convalidare una transazione con la carta di credito.

In particolare, nella simulazione di attacco sono stati utilizzati un dispositivo Proxmark (facilmente acquistabile anche online) che, funzionando come un lettore di carte di credito, si è messo in comunicazione con l’iPhone, e uno smartphone Android dotato di chip NFC per comunicare con il terminale di pagamento.

I ricercatori hanno quindi utilizzato il dispositivo Proxmark per riprodurre quelli che loro stessi hanno ribattezzato byte magici da inviare all’iPhone per ingannarlo facendogli credere di dover autorizzare una transazione di tipo “ticket-gate” per la quale, appunto, non è necessaria alcuna autenticazione da parte dell’utente.

Non è così semplice sfruttare il bug

In realtà, come gli stessi ricercatori hanno dichiarato, la messa in pratica della procedura è più facile a dirsi che a farsi.

Per riuscire nell’attacco, infatti, occorre modificare alcuni flag nei metadata trasmessi dal Proxmark in modo da modificare i byte magici e abilitare così l’autenticazione dei dati anche offline, in modo da consentire la transazione fraudolente mediante la carta di credito.

Bisogna infatti far credere all’iPhone che la transazione stia avvenendo mediante un terminale EMV in grado di gestire i pagamenti contactless EMV Transit secondo lo standard garantito da EMVco, la società normatrice nel settore costituita da Europay, MasterCard e Visa.

Transazioni senza limiti

Ciononostante, i ricercatori hanno comunque verificato che è possibile modificare anche i flag Card Transaction Qualifiers (CTQ) utilizzati per gestire i limiti di pagamento nelle transazioni contactless.

Questa modifica serve innanzitutto per fare in modo che il lettore delle carte di credito abbia conferma sul fatto che la fase di autenticazione sul dispositivo mobile è stata completata con successo.

Inoltre, durante la loro simulazione di attacco i ricercatori sono stati in grado di effettuare una transazione di 1.000 sterline sia su un iPhone 7 sia su un iPhone 12, in entrambi i casi senza dover procedere con lo sblocco del dispositivo.

Non c’è ancora una patch per la vulnerabilità

I ricercatori hanno confermato che le varie simulazioni di attacco hanno dato esito positivo solo utilizzando una combinazione di iPhone e carte Visa.

Il circuito Mastercard, infatti, dovrebbe eseguire un controllo aggiuntivo per assicurarsi che un iPhone bloccato accetti transazioni solo da lettori di carte con un codice commerciante in transito.

Inoltre, provando a mettere in pratica la tecnica fraudolenta con la tecnologia Samsung Pay, i ricercatori hanno scoperto che le transazioni sono sempre possibili sui dispositivi Samsung bloccati, ma in realtà non vengono mai completate per cui il loro valore è sempre stato pari a zero.

Da segnalare, infine, che i risultati della ricerca sono stati inviati sia ad Apple che a Visa nell’ottobre 2020 e nel maggio 2021, rispettivamente, ma nessuno dei due ha finora risolto il problema, anzi: le due aziende si sono scaricate a vicenda l’onere di rilasciare una correzione per questa vulnerabilità che, al momento, può quindi essere sfruttata in attacchi reali, come è forse già successo.

Da parte sua, con una nota ufficiale Visa ha confermato alla nostra testata che “le carte Visa collegate a Apple Pay Express Transit (la modalità Carta rapida trasporti, ndr) sono sicure e i titolari possono continuare a fidarsi e a utilizzarle senza timore. Varianti di frode contactless sono state studiate in ambienti di laboratorio per più di un decennio e si sono dimostrate impraticabili su scala nel mondo reale. Visa considera con la massima serietà tutte le minacce alla sicurezza ed è impegnata costantemente per rafforzare l’affidabilità dei pagamenti in tutto l’ecosistema.

Tutti i dettagli della ricerca sono disponibili nel whitepaper Practical EMV Relay Protection che sarà presentato al prossimo 2022 IEEE Symposium on Security and Privacy.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 2