Britse academici hebben mobiele beveiligingsproblemen in de betalingsmechanismen van Visa en Apple ontdekt die kunnen leiden tot frauduleuze contactloze betalingen.
Donderdag onthulden academici van de Britse Universiteit van Birmingham en de Universiteit van Surrey de techniek waarmee aanvallers het vergrendelscherm van een Apple iPhone konden omzeilen om toegang te krijgen tot betalingsdiensten en contactloze transacties uit te voeren.
Een paper over het onderzoek, “Practical EMV Relay Protection”, (.PDF) zal naar verwachting worden gepubliceerd op het IEEE Symposium on Security and Privacy 2022, en is geschreven door Andreea-Ina Radu, Tom Chothia, Christopher JP Newton, Ioana Boureanu en Liqun Chen.
Volgens de krant treedt de 'kwetsbaarheid' op wanneer Visa-kaarten worden ingesteld in de Express Transit-modus in de portemonnee-functie van een iPhone. De Express-modus is ontworpen met pendelaars in gedachten, wanneer ze bijvoorbeeld snel willen tikken en betalen bij een tourniquet om toegang te krijgen tot het spoor, in plaats van een lijn op te houden vanwege de noodzaak om verdere identiteitsverificatie te doorlopen.
De onderzoekers zeggen dat het probleem, dat alleen van toepassing is op Apple Pay en Visa, wordt veroorzaakt door het gebruik van een unieke code – bijgenaamd “magic bytes” – die wordt uitgezonden door transitpoorten en tourniquets naar ontgrendel Apple Pay.
Door standaard radioapparatuur te gebruiken, waren ze in staat om een relaisaanval uit te voeren, waarbij ze “een iPhone voor de gek hielden door te denken dat hij met een transitpoort praatte”, aldus het team.
Er is een experiment uitgevoerd met een iPhone met een Visa-transitkaart opgezet, een Proxmark — om te fungeren als lezer-emulator — een NFC-enabled Android-telefoon, die fungeerde als een kaart-emulator, en een betaalterminal: het algemene doel is om een betaling uit te voeren op een vergrendeld apparaat naar een EMV-lezer (slimme betaling).
Als een beoogde slachtoffer in de buurt is, of het nu door iemand wordt vastgehouden of wordt gestolen, kan de aanval worden geactiveerd door de “magische bytes” te vangen en vervolgens uit te zenden en vervolgens een reeks andere variabelen te wijzigen, zoals hieronder wordt uitgelegd:
“Tijdens het doorgeven van de EMV-berichten moeten de Terminal Transaction Qualifiers (TTQ), verzonden door de EMV-terminal, zodanig worden gewijzigd dat de bits (vlaggen) voor Offline Data Authentication (ODA) voor Online Authorizations ondersteund en EMV-modus ondersteund zijn ingesteld.
Offline gegevensauthenticatie voor online transacties is een functie die wordt gebruikt in lezers voor speciale doeleinden, zoals toegangspoorten voor douanevervoersystemen, waar EMV-lezers intermitterende connectiviteit kunnen hebben en online verwerking van een transactie niet altijd kan plaatsvinden. Deze aanpassingen zijn voldoende om een transactie door te sturen naar een niet-transport EMV-lezer, als de transactie onder de contactloze limiet valt.”
De aanval is gedemonstreerd in de onderstaande video. Het experiment is uitgevoerd met een iPhone 7 en een iPhone 12. Transacties boven de contactloze limiet kunnen mogelijk ook worden gewijzigd, maar hiervoor zijn aanvullende waardeveranderingen nodig.
Omzeil bug in iPhone Apple Pay-vergrendelingsscherm voor contactloze betalingen Nu bekijken
Het experiment is interessant, hoewel deze aanvalstechniek in de echte wereld misschien niet op grotere schaal haalbaar is. Er moet ook worden opgemerkt dat autorisatieprotocollen slechts één laag van betalingsbescherming vormen en dat financiële instellingen vaak aanvullende systemen implementeren om verdachte transacties en mobiele fraude te detecteren. Het algehele fraudeniveau op het wereldwijde netwerk van Visa is lager dan 0,1%.
In een gesprek met ZDNet zeiden de onderzoekers dat er op 23 oktober 2020 voor het eerst contact met Apple werd opgenomen. Het team nam vervolgens in januari contact op met Visa, gevolgd door een videogesprek in februari en vervolgens werd op 10 mei 2021 een rapport ingediend bij Visa's platform voor kwetsbaarheidsrapportage.
De academici zeggen dat hoewel erkend door beide partijen, die “uitgebreid zijn gesproken”, ” het probleem is nog steeds niet opgelost.
“Ons werk toont een duidelijk voorbeeld van een functie die bedoeld is om het leven stapsgewijs gemakkelijker te maken, averechts werkt en de beveiliging negatief beïnvloedt, met mogelijk ernstige financiële gevolgen voor gebruikers”, aldus Radu. “Uit onze gesprekken met Apple en Visa bleek dat wanneer twee partijen in de sector elk gedeeltelijk de schuld hebben, geen van beiden bereid is om verantwoordelijkheid te nemen en een oplossing te implementeren, waardoor gebruikers voor onbepaalde tijd kwetsbaar zijn.”
In een verklaring vertelde Visa ons:
“Visa-kaarten die zijn aangesloten op Apple Pay Express Transit zijn veilig en kaarthouders moeten ze met vertrouwen blijven gebruiken. Variaties van contactloze fraudeschema's zijn al meer dan tien jaar bestudeerd in laboratoriumomgevingen en zijn onpraktisch gebleken om in het echt op grote schaal uit te voeren Visa neemt alle beveiligingsrisico's zeer serieus en we werken onvermoeibaar om de betalingsbeveiliging in het hele ecosysteem te versterken.”
Het onderzoek werd uitgevoerd als onderdeel van het TimeTrust Trusted Computing-project en werd gefinancierd door het Britse National Cyber Security Centre (NCSC).
ZDNet heeft contact opgenomen met Apple en we zullen updaten wanneer we iets horen.
Eerdere en gerelateerde berichtgeving
Deze cryptocurrency-mijnwerker maakt gebruik van de nieuwe Confluence-bug voor uitvoering van externe code
Kritieke Zoom-kwetsbaarheid activeert uitvoering van externe code zonder invoer van de gebruiker
RCE is terug: bestand met VMware-details upload kwetsbaarheid in vCenter Server
Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Apple Security TV Data Management CXO Datacenters 