Hackerii ar putea forţa iPhone-urile cu ecranul blocat să efectueze plăţi contactless. Ce funcţie le uşurează atacul
0Infractorii cibernetici ar putea face achiziţii frauduloase păcălind metoda de deblocare Apple Pay a unui iPhone, unde portofelul dispozitivului are un card Visa configurat în aşa-numitul mod de tranzit.
Amer Owaida, security writer al ESET, prezintă pe blog cum funcţionează atacul şi cum te poţi proteja.
Atacatorii ar putea, de asemenea, să depăşească limita impusă de tranzacţiile contactless pentru a efectua tranzacţii nelimitate de pe iPhone-urile cu ecran blocat, au arătat cercetătorii de la Universitatea din Birmingham şi Universitatea din Surrey.
Lucrarea de cercetare, intitulată „ Practical EMV Relay Protection”, arată cum atacatorii ar putea abuza de o combinaţie de lacune de securitate ale Apple Pay şi Visa, explicând că, pentru efectuarea unui atac, este nevoie doar de un iPhone pornit. Tranzacţiile ilicite ar putea fi, de asemenea, efectuate dacă dispozitivul se află în geanta victimei.
Atunci când efectuează o plată prin intermediul unei aplicaţii pentru smartphone, utilizatorul trebuie de obicei să autentifice tranzacţia utilizând fie una dintre caracteristicile de autentificare biometrice incorporate ale iPhone-ului, cum ar fi scanarea amprentelor digitale ori a feţei prin metoda Face ID, fie introducând un cod PIN, reducând şansele unui atac de tip releu (relay). În mai 2019, Apple a introdus funcţia „Express Transit/Travel” care permite utilizarea funcţiei Apple Pay fără a debloca telefonul. Funcţia a fost introdusă pentru a facilita plata la intrarea prin turnicheţii din staţiile de transport în comun.
„Această caracteristică poate fi folosită pentru a eschiva ecranul de blocare Apple Pay şi a plăti în mod ilicit de pe un iPhone blocat, utilizând un card Visa, la orice cititor EMV, pentru orice sumă, fără permisiunea utilizatorului”, se arată în articolul care descrie metoda de atac.
Atacul, clasificat ca fiind un atac de tip Man-in-the-Middle (MitM), necesită ca iPhone-ul să aibă configurat un card Visa cu modul „Express Travel” activat, iar victima să fie la o distanţă apropiată de atacator. Pentru a face un test, cercetătorii au folosit un Proxmark care acţiona ca un emulator de citire şi un telefon Android compatibil cu NFC care a fost folosit ca emulator de card pentru a comunica cu terminalul de plată.
„Atacul începe printr-o redare a secvenţei Magic Bytes către iPhone, făcând telefonul să creadă că tranzacţia se derulează cu un cititor de transport EMV. Ulterior, în timp ce sunt retransmise mesajele EMV, validatoarele de tranzacţie terminal (TTQ), trimise de terminalul EMV, trebuie să fie modificate astfel încât biţii (semnalizatori) pentru autentificarea datelor offline (Offline Data Authentication - ODA), pentru autorizaţiile online suportate şi modul EMV suportat să fie corespunzător configuraţi”, au spus cercetătorii.
Pentru a efectua tranzacţiile care depăşesc limita de plată în mod contactless, Card Transaction Qualifiers (CTQ), care sunt responsabili de stabilirea limitelor de tranzacţie, trebuie să fie modificaţi.
„Acest lucru păcăleşte cititorul EMV să creadă că autentificarea utilizatorului pe dispozitiv a fost efectuată (de exemplu, prin amprentă digitală). Valoarea CTQ apare în două mesaje trimise de smartphone-ul Apple şi trebuie modificată în ambele cazuri”, au explicat cercetătorii. În timpul testului, echipa a reuşit să efectueze o tranzacţie de 1.000 GBP (aproximativ 1.400 USD).
Folosind o pereche de telefoane Android compatibile cu NFC, echipa de cercetători a reuşit, de asemenea, să eschiveze protocolul Visa folosit pentru a opri atacurile de tip relay pentru cardurile de plată.
Atât Apple, cât şi Visa au fost anunţaţi de cercetători cu privire la lacuna de securitate identificată şi, deşi ambele companii au recunoscut gravitatea vulnerabilităţii, acestea nu au ajuns încă la un consens privitor la cine trebui să implementeze o soluţie pentru această problemă. Între timp, utilizatorii sunt sfătuiţi să nu folosească cardurile Visa în modul „transport” în timp ce utilizează Apple Pay.