È stato scoperto un metodo per effettuare pagamenti fraudolenti in modalità contactless utilizzando Apple Pay, il portafoglio digitale presente su tutti gli iPhone, gli Apple Watch, i Mac e gli iPad.
La vulnerabilità, scoperta da cinque ricercatori delle Università di Birmingham e del Surrey nel Regno Unito, può essere descritta come la versione digitale del classico borseggio.
Gli accademici hanno infatti trovato il modo per effettuare pagamenti fraudolenti sfruttando la modalità di pagamento “Carta rapida trasporti” disponibile in Apple Pay e bypassando la schermata di blocco dell’iPhone.
Indice degli argomenti
Apple Pay: il bug nei pagamenti contactless
In particolare, stando a quanto riferiscono i ricercatori, il bug in Apple Pay si presenta quando sull’iPhone si abilita una carta Visa in modalità “Carta rapida trasporti” per effettuare rapidamente i pagamenti sui trasporti pubblici o nei parcheggi.
Un eventuale sfruttamento della vulnerabilità potrebbe quindi consentire a un attaccante di bypassare la schermata di blocco dell’iPhone ed effettuare pagamenti contactless senza dover digitare il codice di accesso e senza dovere eseguire la convalida con Face ID o Touch ID. E, soprattutto, senza che la vittima della frode si accorga di nulla in quanto tutta la procedura avviene da remoto mentre magari l’iPhone è riposto in tasca o nella borsa.
La modalità “Carta rapida trasporti”, infatti, è stata volutamente sviluppata proprio per facilitare e velocizzare i pagamenti di piccoli importi: se è attiva, è sufficiente avvicinarsi al terminale di pagamento o al tornello per ottenere subito il biglietto del parcheggio, del bus o della metropolitana senza neppure prendere in mano l’iPhone per sbloccarlo.
Attacco man-in-the-middle replay and relay: ecco come funziona
Tipicamente, la modalità “Carta rapida trasporti” funziona in presenza di tornelli o varchi di accesso compatibili che, nel momento in cui il possessore dell’iPhone si avvicina, inviano una sequenza non standard di byte espressamente progettata per bypassare la schermata di blocco di Apple Pay.
Sfruttando questa particolare caratteristica, i ricercatori inglesi hanno quindi riprodotto un attacco di tipo man-in-the-middle replay and replay che ha consentito loro di emulare il funzionamento di un terminale di pagamento e convalidare una transazione con la carta di credito.
In particolare, nella simulazione di attacco sono stati utilizzati un dispositivo Proxmark (facilmente acquistabile anche online) che, funzionando come un lettore di carte di credito, si è messo in comunicazione con l’iPhone, e uno smartphone Android dotato di chip NFC per comunicare con il terminale di pagamento.
I ricercatori hanno quindi utilizzato il dispositivo Proxmark per riprodurre quelli che loro stessi hanno ribattezzato byte magici da inviare all’iPhone per ingannarlo facendogli credere di dover autorizzare una transazione di tipo “ticket-gate” per la quale, appunto, non è necessaria alcuna autenticazione da parte dell’utente.
Non è così semplice sfruttare il bug
In realtà, come gli stessi ricercatori hanno dichiarato, la messa in pratica della procedura è più facile a dirsi che a farsi.
Per riuscire nell’attacco, infatti, occorre modificare alcuni flag nei metadata trasmessi dal Proxmark in modo da modificare i byte magici e abilitare così l’autenticazione dei dati anche offline, in modo da consentire la transazione fraudolente mediante la carta di credito.
Bisogna infatti far credere all’iPhone che la transazione stia avvenendo mediante un terminale EMV in grado di gestire i pagamenti contactless EMV Transit secondo lo standard garantito da EMVco, la società normatrice nel settore costituita da Europay, MasterCard e Visa.
Transazioni senza limiti
Ciononostante, i ricercatori hanno comunque verificato che è possibile modificare anche i flag Card Transaction Qualifiers (CTQ) utilizzati per gestire i limiti di pagamento nelle transazioni contactless.
Questa modifica serve innanzitutto per fare in modo che il lettore delle carte di credito abbia conferma sul fatto che la fase di autenticazione sul dispositivo mobile è stata completata con successo.
Inoltre, durante la loro simulazione di attacco i ricercatori sono stati in grado di effettuare una transazione di 1.000 sterline sia su un iPhone 7 sia su un iPhone 12, in entrambi i casi senza dover procedere con lo sblocco del dispositivo.
Non c’è ancora una patch per la vulnerabilità
I ricercatori hanno confermato che le varie simulazioni di attacco hanno dato esito positivo solo utilizzando una combinazione di iPhone e carte Visa.
Il circuito Mastercard, infatti, dovrebbe eseguire un controllo aggiuntivo per assicurarsi che un iPhone bloccato accetti transazioni solo da lettori di carte con un codice commerciante in transito.
Inoltre, provando a mettere in pratica la tecnica fraudolenta con la tecnologia Samsung Pay, i ricercatori hanno scoperto che le transazioni sono sempre possibili sui dispositivi Samsung bloccati, ma in realtà non vengono mai completate per cui il loro valore è sempre stato pari a zero.
Da segnalare, infine, che i risultati della ricerca sono stati inviati sia ad Apple che a Visa nell’ottobre 2020 e nel maggio 2021, rispettivamente, ma nessuno dei due ha finora risolto il problema, anzi: le due aziende si sono scaricate a vicenda l’onere di rilasciare una correzione per questa vulnerabilità che, al momento, può quindi essere sfruttata in attacchi reali, come è forse già successo.
Da parte sua, con una nota ufficiale Visa ha confermato alla nostra testata che “le carte Visa collegate a Apple Pay Express Transit (la modalità Carta rapida trasporti, ndr) sono sicure e i titolari possono continuare a fidarsi e a utilizzarle senza timore. Varianti di frode contactless sono state studiate in ambienti di laboratorio per più di un decennio e si sono dimostrate impraticabili su scala nel mondo reale. Visa considera con la massima serietà tutte le minacce alla sicurezza ed è impegnata costantemente per rafforzare l’affidabilità dei pagamenti in tutto l’ecosistema”.
Tutti i dettagli della ricerca sono disponibili nel whitepaper Practical EMV Relay Protection che sarà presentato al prossimo 2022 IEEE Symposium on Security and Privacy.
