I ricercatori della School of Computer Science dell’Università di Birmingham e del Department of Computer Science dell’Università del Surrey hanno scoperto una vulnerabilità in Apple Pay che consente di aggirare il limite contactless ed eseguire transazioni di qualsiasi importo.
La vulnerabilità si verifica quando le carte Visa sono impostate in “modalità Express Transit” nel portafoglio di un iPhone, funzionalità di molti smartphone che consente ai pendolari di effettuare un rapido pagamento mobile contactless, ad esempio, al tornello di una stazione della metropolitana, senza l’autenticazione delle impronte digitali.
Il punto debole risiede nei sistemi ApplePay e Visa che lavorano insieme e non influisce su altre combinazioni, come Mastercard in iPhone o Visa su Samsung Pay.
Il team di ricercatori, utilizzando semplici apparecchiature radio, ha identificato un codice univoco trasmesso dai cancelli di transito o tornelli, soprannominato “magic bytes”, che sblocca Apple Pay. I ricercatori hanno scoperto che era quindi possibile utilizzare questo codice per interferire con i segnali che intercorrono tra l’iPhone e un lettore di carte del negozio. Quindi, trasmettendo i magic byte e modificando altri campi nel protocollo, sono stati in grado di ingannare l’iPhone facendogli credere che stesse comunicando con un cancello di transito, mentre in realtà stava comunicando con un lettore di negozi.
Inoltre, il metodo dei ricercatori persuade il lettore del negozio che l’iPhone ha completato con successo l’autorizzazione dell’utente, rendendo quindi possibile accettare pagamenti di qualsiasi importo all’insaputa dell’utente dell’iPhone.
“Il nostro lavoro mostra un chiaro esempio di una funzionalità, pensata per semplificare la vita in modo incrementale, ritorcendosi contro e incidendo negativamente sulla sicurezza, con conseguenze finanziarie potenzialmente gravi per gli utenti. Le nostre discussioni con Apple e Visa hanno rivelato che quando due parti del settore hanno ciascuna la colpa parziale, nessuna è disposta ad accettare la responsabilità e implementare una soluzione, lasciando gli utenti vulnerabili a tempo indeterminato”, ha comunicato la dottoressa Andreea Radu della School of Computer Science dell’Università di Birmingham che ha guidato la ricerca.
La coautrice, la dott.ssa Ioana Boureanu, del Center for Cyber Security dell’Università del Surrey, ha aggiunto: “Mostriamo come una funzionalità di usabilità nei pagamenti mobili contactless può ridurre la sicurezza. Ma abbiamo anche scoperto progetti di pagamento mobile senza contatto, come Samsung Pay, che è sia utilizzabile che sicuro. Gli utenti ApplePay non dovrebbero dover rinunciare alla sicurezza per l’usabilità, ma, al momento, alcuni di loro lo fanno”.
Il coautore Dr Tom Chothia , anche lui della School of Computer Science dell’Università di Birmingham, ha dichiarato: “I proprietari di iPhone dovrebbero verificare se hanno una carta Visa configurata per i pagamenti di transito e, in tal caso, dovrebbero disabilitarla. Non è necessario che gli utenti di Apple Pay siano in pericolo, ma finché Apple o Visa non lo risolvono lo sono”.
I risultati della ricerca saranno presentati in un documento al 2022 IEEE Symposium on Security and Privacy.
