Ecco come vi rubano i soldi dal vostro account Apple Pay: fate attenzione e cercate di seguire i consigli che vi diamo in questo articolo.
Aggiornamento (01/10/2021, 16.35): riceviamo in redazione e pubblichiamo la dichiarazione di Visa in merito.
Le carte Visa collegate a Apple Pay Express Transit sono sicure e i titolari possono continuare a utilizzarle senza timore. Varianti di frode contactless sono state studiate in ambienti di laboratorio per più di un decennio e si sono dimostrate impraticabili su scala nel mondo reale. Visa considera con la massima serietà tutte le minacce alla sicurezza ed è impegnata costantemente per rafforzare l’affidabilità dei pagamenti in tutto l’ecosistema.
Apple Pay: con la carta Visa si è vulnerabili
Purtroppo i cyber criminali escogitano sempre nuovi trucchi per rubare i telefoni o il denaro contenuto all’interno delle carte digitali. Sappiamo che Apple Pay è uno dei metodi più utilizzati per i pagamenti online. Non serve l’autorizzazione, soprattutto se viene configurato per il pagamento con una carta Visa ed esposto a un lettore contactless di ultima generazione.
La scoperta
I ricercatori dell’Università di Birmingham e dell’Università del Surrey in Inghilterra sono riusciti a trovare un modo per rimuovere il limite di pagamento contactless sugli iPhone con carte Apple Pay e Visa, se viene stata abilitata la modalità “Express Transit“.
La suddetta funzionalità Express Transit consente le transazioni Apple Pay senza dover sbloccare un iPhone o richiedere l’autenticazione. È intesa come una funzione comoda per facilitare gli addebiti quando si passa attraverso i varchi di biglietteria del trasporto pubblico che supportano lettori NFC come Europay, Mastercard e Visa (EMV).
“Il nostro lavoro mostra un chiaro esempio di una funzionalità, intesa a rendere la vita più semplice in modo incrementale, ritorcendosi contro e con un impatto negativo sulla sicurezza, con conseguenze finanziarie potenzialmente gravi per gli utenti“, ha affermato la dott.ssa Andreea-Ina Radu, della School of Computer Science presso l’Università di Birmingham, in una dichiarazione giovedì.
I ricercatori coinvolti – Andreea-Ina Radu e Tom Chothia a Birmingham e Ioana Boureanu, Christopher JP Newton e Liqun Chen al Surrey – affermano di aver rivelato il difetto ad Apple nell’ottobre 2020 e a Visa nel maggio 2021. Tuttavia, entrambe le compagnie non hanno collaborato per trovare una soluzione al problema.
“Le nostre discussioni con Apple e Visa hanno rivelato che quando due parti del settore hanno ciascuna la colpa parziale, nessuna è disposta ad accettare la responsabilità e implementare una soluzione, lasciando gli utenti vulnerabili a tempo indeterminato“, ha affermato Radu.
La ricerca, che sarà presentata al 43° Simposio IEEE sulla sicurezza e la privacy nel maggio 2022, si basa su un attacco MITM “replay e relay” su iPhone con una carta Visa designata come “carta di trasporto“. In altre parole, la segnalazione tra l’iPhone e il sistema di pagamento in transito viene falsificata da un terminale fasullo che “sblocca” l’accesso al portafoglio virtuale della mela.
“Se una sequenza di byte non standard (Magic Bytes) precede il comando WakeUp standard ISO 14443-A, Apple Pay la considererà una transazione con un lettore EMV di trasporto“, spiegano i ricercatori in un articolo del loro attacco.
I Magic Byte rappresentano una sequenza di codici che viene trasmessa da varchi di transito o tornelli per sbloccare Apple Pay. Ciò che i ricercatori hanno scoperto dopo aver identificato questo codice con apparecchiature radio, è che potevano trasmetterlo con campi di dati alterati per ingannare iPhone opportunamente configurati.
Modificando campi specifici nel protocollo wireless, i malviventi potrebbero consentire agli iPhone vulnerabili a considerare una transazione inserita in un lettore di carte contactless come se provenisse da un varco di transito, dove non è prevista alcuna conferma.
La manipolazione dei dati correlati comunica al lettore EMV che l’utente ha autorizzato l’importo sul dispositivo, consentendo quindi transazioni oltre il limite di pagamento senza contatto all’insaputa della vittima.
Cosa serve?
Il requisito principale per questo scenario di attacco è un iPhone attivo e rubato configurato come descritto, con una carta Visa. I ricercatori affermano che i fondi potrebbero essere rubati da un iPhone vulnerabile nella borsa di una vittima, anche se occorre essere vicini all’hardware necessario.
“Un utente malintenzionato ha solo bisogno di un iPhone rubato e alimentato“, ha scritto il team. “Le transazioni potrebbero anche essere trasmesse da un iPhone all’interno della borsa di qualcuno, a loro insaputa. L’attaccante non ha bisogno dell’assistenza del commerciante e i controlli di rilevamento delle frodi di backend non hanno bloccato nessuno dei nostri pagamenti di prova“.
Il protocollo Visa-L1
I ricercatori hanno anche sviluppato un attacco separato contro il protocollo Visa-L1, inteso come difesa contro schemi di staffetta di questo tipo. Visa-L1, spiegano gli addetti ai lavori, presuppone che l’attaccante non possa modificare l’UID di una carta o di un telefono cellulare.
“L’attacco è possibile perché la sicurezza del protocollo si basa su un valore casuale inviato solo dal lato della carta, che possiamo manipolare, e non c’è casualità dal lettore EMV“, spiegano poi.
“Il protocollo ha lo scopo di proteggere dagli aggressori che utilizzano dispositivi non modificati e Visa ritiene che il rooting di uno smartphone Android sia un processo difficile, che richiede un’elevata competenza tecnica“.
Qual è la nostra soluzione?
Non utilizzate carte Visa abbinate ad Apple Pay. Scegliere una Mastercard, piuttosto.
