Gli accademici del Regno Unito hanno scoperto problemi di sicurezza mobile nei meccanismi di pagamento Visa e Apple che potrebbero comportare pagamenti contactless fraudolenti.
Giovedì, gli accademici dell'Università di Birmingham e dell'Università del Surrey nel Regno Unito hanno rivelato la tecnica, in cui gli aggressori potrebbero aggirare la schermata di blocco di un iPhone di Apple per accedere ai servizi di pagamento ed effettuare transazioni senza contatto.
Un documento sulla ricerca, “Practical EMV Relay Protection,” (.PDF) dovrebbe essere pubblicato al 2022 IEEE Symposium on Security and Privacy, ed è stato scritto da Andreea-Ina Radu, Tom Chothia, Christopher JP Newton, Ioana Boureanu e Liqun Chen.
Secondo il documento, la “vulnerabilità” si verifica quando le carte Visa sono impostate in modalità Express Transit nel portafoglio di un iPhone. La modalità Express è stata progettata pensando ai pendolari, quando potrebbero voler toccare e pagare rapidamente a un tornello per accedere alla ferrovia, ad esempio, piuttosto che bloccare una linea a causa della necessità di eseguire un'ulteriore autenticazione dell'identità.
I ricercatori affermano che il problema, che riguarda solo Apple Pay e Visa, è causato dall'uso di un codice univoco – soprannominato “magic byte” – che viene trasmesso da varchi di transito e tornelli a sbloccare Apple Pay.
Utilizzando apparecchiature radio standard, sono stati in grado di eseguire un attacco relè, “ingannando un iPhone facendogli credere che stesse parlando con un cancello di transito”, secondo il team.
È stato condotto un esperimento utilizzando un iPhone con una carta di transito Visa impostata, un Proxmark – per fungere da emulatore di lettore – un telefono Android abilitato NFC, che fungeva da emulatore di carte e un terminale di pagamento: l'obiettivo generale è effettuare un pagamento su un dispositivo bloccato a un lettore EMV (smart payment).
Se una vittima designata è nelle immediate vicinanze, trattenuta da qualcuno o rubata, l'attacco può essere innescato catturando e poi trasmettendo i “byte magici” e quindi modificando un insieme di altre variabili, come spiegato di seguito:
“Durante l'inoltro dei messaggi EMV, i Qualificatori di transazione terminale (TTQ), inviati dal terminale EMV, devono essere modificati in modo tale che i bit (flag) per l'autenticazione dei dati offline (ODA) per le autorizzazioni online siano supportati e la modalità EMV supportati sono impostati.
L'autenticazione dei dati offline per le transazioni online è una funzionalità utilizzata nei lettori per scopi speciali, come i varchi di ingresso del sistema di transito, in cui i lettori EMV possono avere connettività intermittente e l'elaborazione online di una transazione non può sempre avvenire. Queste modifiche sono sufficienti per consentire l'inoltro di una transazione a un lettore EMV non di trasporto, se la transazione è al di sotto del limite contactless.”
L'attacco è stato dimostrato nel video qui sotto. L'esperimento è stato eseguito con un iPhone 7 e un iPhone 12. Anche le transazioni oltre il limite contactless possono essere potenzialmente modificate, ma ciò richiede ulteriori modifiche di valore.
Bug di bypass nella schermata di blocco di Apple Pay di iPhone per effettuare pagamenti senza contatto Guarda ora
L'esperimento è interessante, anche se nel mondo reale questa tecnica di attacco potrebbe non essere fattibile su scala più ampia. Va inoltre notato che i protocolli di autorizzazione sono solo un livello di protezione dei pagamenti e gli istituti finanziari spesso implementano sistemi aggiuntivi per rilevare transazioni sospette e frodi mobili. Il livello complessivo di frode sulla rete globale di Visa è inferiore allo 0,1%.
Parlando con ZDNet, i ricercatori hanno affermato che Apple è stata contattata per la prima volta il 23 ottobre 2020. Il team ha poi contattato Visa a gennaio, seguita da una videochiamata a febbraio, quindi un rapporto è stato inviato alla piattaforma di segnalazione delle vulnerabilità di Visa il 10 maggio 2021.
Gli accademici affermano che, sebbene riconosciuto da entrambe le parti, a cui è stato parlato “ampiamente, ” il problema rimane irrisolto.
“Il nostro lavoro mostra un chiaro esempio di una funzionalità, pensata per rendere la vita più semplice in modo incrementale, ritorcendosi contro e con un impatto negativo sulla sicurezza, con conseguenze finanziarie potenzialmente gravi per gli utenti”, ha commentato Radu. “Le nostre discussioni con Apple e Visa hanno rivelato che quando due parti del settore hanno ciascuna la colpa parziale, nessuna è disposta ad accettare la responsabilità e implementare una soluzione, lasciando gli utenti vulnerabili a tempo indeterminato”.
In una dichiarazione, Visa ci ha detto:
“Le carte Visa collegate ad Apple Pay Express Transit sono sicure e i titolari delle carte dovrebbero continuare a usarle con fiducia. Variazioni di schemi di frode senza contatto sono state studiate in ambienti di laboratorio per più di un decennio e si sono dimostrate poco pratiche da eseguire su larga scala nel reale mondo. Visa prende molto sul serio tutte le minacce alla sicurezza e lavoriamo instancabilmente per rafforzare la sicurezza dei pagamenti in tutto l'ecosistema.”
La ricerca è stata condotta nell'ambito del progetto Trusted Computing TimeTrust ed è stata finanziata da il Centro nazionale per la sicurezza informatica (NCSC) del Regno Unito.
ZDNet ha contattato Apple e aggiorneremo quando avremo notizie.
Copertura precedente e correlata
Questo minatore di criptovaluta sta sfruttando il nuovo bug di esecuzione del codice remoto di Confluence
La vulnerabilità Critical Zoom attiva l'esecuzione di codice remoto senza l'input dell'utente
RCE è tornato: file di dettagli VMware carica vulnerabilità in vCenter Server
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al numero +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Apple Security TV Data Management CXO Data Center 