Cinque ricercatori accademici delle università britanniche di Birmingham e del Surrey hanno scoperto una grave vulnerabilità nel meccanismo di pagamento contactless utilizzato ogni giorno su iPhone da milioni di utenti in tutto il mondo.
Gli studiosi hanno dimostrato che è possibile addebitare somme sulla carte di credito collegato con Apple Pay senza che l’utente vittima debba neppure sbloccare il suo iPhone agendo quindi a sua totale insaputa.
Come sappiamo, infatti, per autorizzare un pagamento contactless con Apple Pay è necessario dapprima sbloccare lo smartphone inserendo il codice personale oppure usando tecnologie come Touch ID o Face ID.
Per sveltire alcune tipologie di pagamenti Apple ha però introdotto la modalità Carta rapida trasporti: si tratta di un meccanismo progettato per facilitare il pagamento dei mezzi pubblici e dei parcheggi. In questo caso basta avvicinarsi al terminale e ottenere subito il titolo di viaggio senza neppure sbloccare lo smartphone.
La modalità Carta rapida trasporti è stata quindi pensata per specifici servizi con i lettori delle carte che inviano una sequenza non standard di byte espressamente progettata per bypassare la schermata di blocco di Apple Pay.
I ricercatori spiegano però che in combinazione con una carta Visa precedentemente registrata dall’utente su Apple Pay, la funzione può essere sfruttata da parte di malintenzionati per autorizzare pagamenti all’insaputa di un altro utente.
Gli accademici sono stati in grado di emulare una transazione con la carta di credito utilizzando un dispositivo Proxmark che funge da lettore di carte e che comunica con l’iPhone della vittima. Si sono inoltre serviti di un telefono Android con chip NFC che comunica a sua volta con il terminale di pagamento.
Quello realizzato è di fatto un attacco “man-in-the-middle replay and relay” in cui il dispositivo Proxmark invia i “byte magici” per ingannare l’iPhone e fargli credere che si tratti di una transazione per l’acquisto di un biglietto per un mezzo pubblico.
L’attacco è comunque piuttosto complesso: è stato necessario impostare speciali flag per abilitare l’autenticazione dei dati offline ma è comunque possibile riuscire nell’impresa.
Non solo. Durante l’aggressione i ricercatori sono riusciti a rimuovere qualunque limite di spesa dimostrando ad esempio l’addebito su carta di credito Visa di una somma pari a 1.000 sterline. Il tutto senza mai sbloccare l’iPhone.
Il problema sembra al momento riguardare solo Apple Pay con carte Visa e modalità Carta rapida trasporti. Era stato privatamente segnalato a entrambe le aziende a ottobre 2020 e maggio 2021 ma ad oggi non è stato ancora risolto.
Secondo Andreea-Ina Radu, Tom Chothia, Christopher J.P. Newton, Ioana Boureanu e Liqun Chen, autori dello studio, Apple e Visa si sarebbero vicendevolmente addossate la responsabilità senza però, ad oggi, applicare una patch correttiva per un bug la cui presenza è stata verificata in tutti gli iPhone (da iPhone 7 a iPhone 12).
I dettagli della ricerca sono consultabili nel documento pubblicato a questo indirizzo.
Nel frattempo Visa ha condiviso una nota ufficiale in cui spiega che le sue carte “collegate a Apple Pay Express Transit sono sicure e i titolari possono continuare a fidarsi e a utilizzarle senza timore. Varianti di frode contactless sono state studiate in ambienti di laboratorio per più di un decennio e si sono dimostrate impraticabili su scala nel mondo reale. Visa considera con la massima serietà tutte le minacce alla sicurezza ed è impegnata costantemente per rafforzare l’affidabilità dei pagamenti in tutto l’ecosistema“.