Aggiornato: il problema di sicurezza riguarda la modalità di trasmissione di Visa e Apple.
Gli accademici britannici hanno scoperto problemi di sicurezza mobile nei meccanismi di pagamento Visa e Apple che potrebbero portare a pagamenti contactless fraudolenti.
Sicurezza
- 8 abitudini dei lavoratori remoti altamente sicuri
- Come trovare e rimuovere spyware dal telefono
- I migliori servizi VPN: come si confrontano i primi 5?
- Come scoprire se sei coinvolto in una violazione dei dati e cosa fare dopo
Giovedì, accademici dell'Università di Birmingham e dell'Università del Surrey nel Regno Unito hanno rivelato la tecnica che gli aggressori potrebbero aggirare la schermata di blocco di un iPhone di Apple per accedere ai servizi di pagamento e rendere contactless transazioni.
Un documento sulla ricerca "Pratica protezione relè EMV," (.PDF) sarà pubblicato al Simposio IEEE del 2022 sulla sicurezza e la privacy ed è stato scritto da Andreea-Ina Radu, Tom Chothia, Christopher J.P. Newton, Ioana Boureanu e Liqun Chen.
Secondo il documento, la "vulnerabilità" si verifica quando le carte Visa vengono impostate in Express Modalità di transito nella funzione portafoglio di un iPhone. La modalità Express è stata progettata pensando ai pendolari, quando potrebbero voler toccare e pagare rapidamente ai tornelli accedere ai binari, ad esempio, invece di rallentare la fila a causa della necessità di sottoporsi a un'ulteriore autenticazione dell'identità.
I ricercatori affermano che il problema, che riguarda solo Apple Pay e Visa, è causato dall'utilizzo di a codice univoco - soprannominato "byte magici" - che viene trasmesso dai cancelli di transito e dai tornelli per sbloccare Apple Paga.
Utilizzando apparecchiature radio standard, sono stati in grado di eseguire un attacco a relè, "ingannando un iPhone facendogli credere che stesse parlando con un cancello di transito", secondo il team.
È stato condotto un esperimento utilizzando un iPhone con una carta di transito Visa configurata, un Proxmark (che funge da emulatore di lettore) e un dispositivo Android abilitato NFC telefono, che fungeva da emulatore di carte, e un terminale di pagamento: l'obiettivo generale era quello di effettuare un pagamento su un dispositivo bloccato verso un EMV (pagamento intelligente) lettore.
Se una vittima designata si trova nelle immediate vicinanze, sia essa trattenuta da qualcuno o rubata, l'attacco può essere innescato da catturando e poi trasmettendo i "byte magici" e quindi modificando un insieme di altre variabili, come spiegato sotto:
"Durante l'inoltro dei messaggi EMV, i Terminal Transaction Qualifier (TTQ), inviati dal terminale EMV, devono essere modificati in modo tale che i bit (flag) per l'Autenticazione Dati Offline (ODA) per le Autorizzazioni Online supportate e la modalità EMV supportata siano impostato.
L'autenticazione dei dati offline per le transazioni online è una funzionalità utilizzata nei lettori per scopi speciali, come il sistema di transito i cancelli d'ingresso, dove i lettori EMV possono avere una connettività intermittente e l'elaborazione online di una transazione non può sempre funzionare posto. Queste modifiche sono sufficienti per consentire l'inoltro di una transazione a un lettore EMV non di trasporto, se la transazione è inferiore al limite contactless."
L'attacco ha stato dimostrato nel video qui sotto. L'esperimento è stato eseguito con un iPhone 7 e un iPhone 12. Anche le transazioni oltre il limite contactless possono essere potenzialmente modificate, ma ciò richiede ulteriori modifiche di valore.
L'esperimento è interessante, anche se nel mondo reale questa tecnica di attacco potrebbe non essere fattibile su scala più ampia. Va inoltre notato che i protocolli di autorizzazione rappresentano solo un livello di protezione dei pagamenti e gli istituti finanziari spesso implementano sistemi aggiuntivi per rilevare transazioni sospette e mobili frode. Il livello complessivo di frode sulla rete globale di Visa è inferiore allo 0,1%.
Parlando con ZDNet, i ricercatori hanno affermato che Apple è stata contattata per la prima volta il 23 ottobre 2020. Il team ha quindi contattato Visa a gennaio, seguita da una videochiamata a febbraio, quindi è stata inviata una segnalazione alla piattaforma di segnalazione delle vulnerabilità di Visa il 10 maggio 2021.
Gli accademici affermano che, sebbene sia riconosciuto da entrambe le parti, con le quali si è parlato "ampiamente", la questione rimane irrisolta.
"Il nostro lavoro mostra un chiaro esempio di una funzionalità, intesa a rendere la vita sempre più semplice, controproducente e incidendo negativamente sulla sicurezza, con conseguenze finanziarie potenzialmente gravi per gli utenti," Radu commentato. "Le nostre discussioni con Apple e Visa hanno rivelato che quando due parti del settore hanno ciascuna una colpa parziale, nessuno dei due è disposto ad assumersi la responsabilità e ad implementare una soluzione, lasciando gli utenti vulnerabili indefinitamente."
In una dichiarazione, Visa ci ha detto:
"Le carte Visa collegate ad Apple Pay Express Transit sono sicure e i titolari delle carte dovrebbero continuare a usarle con fiducia. Variazioni degli schemi di frode senza contatto sono state studiate in ambienti di laboratorio per più di un decennio e si sono rivelate poco pratiche da eseguire su larga scala nel mondo reale. Visa prende molto sul serio tutte le minacce alla sicurezza e lavoriamo instancabilmente per rafforzare la sicurezza dei pagamenti in tutto l’ecosistema”.
La ricerca è stata condotta nell'ambito del TimeTrust progetto di Trusted Computing ed è stato finanziato dal National Cyber Security Centre (NCSC) del Regno Unito.
Aggiornamento 7.43 BST: Apple ha dichiarato a ZDNet:
"Prendiamo molto seriamente qualsiasi minaccia alla sicurezza degli utenti. Questo è un problema relativo al sistema Visa, ma Visa non ritiene che questo tipo di frode possa verificarsi nel mondo reale, dati i molteplici livelli di sicurezza in atto. Nell'improbabile caso in cui si verifichi un pagamento non autorizzato, Visa ha chiarito che i titolari delle loro carte sono protetti dalla politica di responsabilità zero di Visa."
Separatamente, DinoSec ha compilato un registro dei problemi di bypass della schermata di blocco che ha avuto un impatto su Apple iOS dal 2011.
Copertura precedente e correlata
-
Questo minatore di criptovaluta sta sfruttando il nuovo bug di esecuzione del codice remoto Confluence
-
La vulnerabilità critica dello zoom attiva l'esecuzione di codice remoto senza l'input dell'utente
-
RCE è tornato: VMware descrive dettagliatamente la vulnerabilità nel caricamento dei file in vCenter Server
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnala al +447713 025 499, o tramite Keybase: charlie0