I ricercatori nel Regno Unito hanno scoperto un difetto in Apple Pay che consente agli hacker di effettuare pagamenti contactless non autorizzati dall’iPhone di un utente. I ricercatori dell’Università di Birmingham e dell’Università del Surrey hanno pubblicato un documento che descrive il metodo con cui è possibile sfruttare questo difetto, che consentirebbe agli hacker di aggirare la schermata di blocco di un iPhone, come riporta bgr.
La funzione Express Transit che Apple ha introdotto per la prima volta in iOS 12.3 sembra essere colpevole della vulnerabilità. Con Express Transit, si possono pagare rapidamente le corse sui mezzi pubblici con una carta nell’app Wallet. Come osserva Apple in questa pagina di supporto, non è necessario convalidare con Face ID, Touch ID o un passcode. Express Transit è pensato per essere conveniente, ma è anche la chiave per questo exploit.
Come spiegano i ricercatori, i lettori di biglietti trasmettono una sequenza di byte non standard in grado di aggirare la schermata di blocco dell’iPhone. Si riferiscono a questi come “byte magici” nel loro documento di ricerca. Ciò consente il funzionamento di Express Transit (e di funzioni simili su altri dispositivi). Apple Pay verifica se tutti i requisiti sono soddisfatti e, in caso affermativo, elabora il pagamento.
Imitando un lettore di biglietti, i ricercatori sono stati in grado di indurre Apple Pay a elaborare i pagamenti contactless. Questo è stato possibile solo con le carte Visa, ma risulta incredibilmente efficace. I ricercatori affermano di essere stati in grado di utilizzare un lettore del negozio EMV per effettuare pagamenti fraudolenti di qualsiasi importo da un iPhone bloccato. Hanno testato fino a 1000 sterline, ma potrebbe non esserci un limite.
Sfortunatamente, né Apple né Visa stanno facendo nulla per correggere questa vulnerabilità. Ecco le risposte ottenute dai ricercatori dopo avere informato le due aziende:
Abbiamo rivelato questo attacco sia ad Apple che a Visa e ne abbiamo discusso con i loro team di sicurezza. Apple ha suggerito che la soluzione migliore fosse che Visa implementasse ulteriori controlli di rilevamento delle frodi, controllando esplicitamente i dati dell’applicazione dell’emittente (IAD) e il codice di categoria del commerciante (MCC). Nel frattempo, Visa ha osservato che il problema si applicava solo ad Apple (cioè non a Samsung Pay), quindi ha suggerito di apportare una correzione ad Apple Pay. Verifichiamo le possibili soluzioni di Apple e Visa in Tamarin e mostriamo che entrambe limiterebbero l’impatto dell’inoltro. Al momento in cui scriviamo, nessuna delle due parti ha implementato una correzione, quindi la vulnerabilità di Apple Pay Visa rimane attiva.
