Lacunele de securitate din Apple Pay și Visa le-ar putea permite infractorilor să efectueze plăți arbitrare contactless - fără a fi nevoie de autentificare, descoperă cercetările
Infractorii cibernetici ar putea face achiziții frauduloase păcălind metoda de deblocare Apple Pay a unui iPhone, unde portofelul dispozitivului are un card Visa configurat în așa-numitul mod de tranzit. Atacatorii ar putea, de asemenea, să depășească limita impusă de tranzacțiile contactless pentru a efectua tranzacții nelimitate de pe iPhone-urile cu ecran blocat, au arătat cercetătorii de la Universitatea din Birmingham și Universitatea din Surrey.
Lucrarea de cercetare, intitulată „ Practical EMV Relay Protection”, arată cum atacatorii ar putea abuza de o combinație de lacune de securitate ale Apple Pay și Visa, explicând că, pentru efectuarea unui atac, este nevoie doar de un iPhone pornit. Tranzacțiile ilicite ar putea fi, de asemenea, efectuate dacă dispozitivul se află în geanta victimei.
Atunci când efectuează o plată prin intermediul unei aplicații pentru smartphone, utilizatorul trebuie de obicei să autentifice tranzacția utilizând fie una dintre caracteristicile de autentificare biometrice incorporate ale iPhone-ului, cum ar fi scanarea amprentelor digitale ori a feței prin metoda Face ID, fie introducând un cod PIN, reducând șansele unui atac de tip releu (relay). În mai 2019, Apple a introdus funcția „Express Transit/Travel” care permite utilizarea funcției Apple Pay fără a debloca telefonul. Funcția a fost introdusă pentru a facilita plata la intrarea prin turnicheții din stațiile de transport în comun.
„Această caracteristică poate fi folosită pentru a eschiva ecranul de blocare Apple Pay și a plăti în mod ilicit de pe un iPhone blocat, utilizând un card Visa, la orice cititor EMV, pentru orice sumă, fără permisiunea utilizatorului”, se arată în articolul care descrie metoda de atac.
Atacul, clasificat ca fiind un atac de tip Man-in-the-Middle (MitM), necesită ca iPhone-ul să aibă configurat un card Visa cu modul „Express Travel” activat, iar victima să fie la o distanță apropiată de atacator. Pentru a face un test, cercetătorii au folosit un Proxmark care acționa ca un emulator de citire și un telefon Android compatibil cu NFC care a fost folosit ca emulator de card pentru a comunica cu terminalul de plată.
Un articol pe aceeași temă: Cât de sigură e metoda dvs. de blocare a telefonului?
„Atacul începe printr-o redare a secvenței Magic Bytes către iPhone, făcând telefonul să creadă că tranzacția se derulează cu un cititor de transport EMV. Ulterior, în timp ce sunt retransmise mesajele EMV, validatoarele de tranzacție terminal (TTQ), trimise de terminalul EMV, trebuie să fie modificate astfel încât biții (semnalizatori) pentru autentificarea datelor offline (Offline Data Authentication - ODA), pentru autorizațiile online suportate și modul EMV suportat să fie corespunzător configurați”, au spus cercetătorii.
Pentru a efectua tranzacțiile care depășesc limita de plată în mod contactless, Card Transaction Qualifiers (CTQ), care sunt responsabili de stabilirea limitelor de tranzacție, trebuie să fie modificați.
„Acest lucru păcălește cititorul EMV să creadă că autentificarea utilizatorului pe dispozitiv a fost efectuată (de exemplu, prin amprentă digitală). Valoarea CTQ apare în două mesaje trimise de smartphone-ul Apple și trebuie modificată în ambele cazuri”, au explicat cercetătorii. În timpul testului, echipa a reușit să efectueze o tranzacție de 1.000 GBP (aproximativ 1.400 USD).
Folosind o pereche de telefoane Android compatibile cu NFC, echipa de cercetători a reușit, de asemenea, să eschiveze protocolul Visa folosit pentru a opri atacurile de tip relay pentru cardurile de plată.
Atât Apple, cât și Visa au fost anunțați de cercetători cu privire la lacuna de securitate identificată și, deși ambele companii au recunoscut gravitatea vulnerabilității, acestea nu au ajuns încă la un consens privitor la cine trebui să implementeze o soluție pentru această problemă. Între timp, utilizatorii sunt sfătuiți să nu folosească cardurile Visa în modul „transport” în timp ce utilizează Apple Pay.
Lasa un comentariu