iphone, hand, screen

Le vulnerabilità in Apple Pay e Visa potrebbero consentire agli hacker di aggirare la schermata di blocco di Apple Pay di un iPhone ed eseguire pagamenti senza contatto, secondo una ricerca dell’Università di Birmingham e dell’Università del Surrey.

Gli esperti della School of Computer Science dell’Università di Birmingham e del Department of Computer Science dell’Università del Surrey hanno scoperto che il loro approccio potrebbe essere utilizzato anche per aggirare il limite contactless che consente di eseguire transazioni di qualsiasi importo. I loro risultati saranno presentati in un documento al 2022 IEEE Symposium on Security and Privacy.

I ricercatori hanno scoperto che la vulnerabilità si verifica quando le carte Visa sono impostate in “modalità Express Transit” nel portafoglio di un iPhone. La modalità di transito è una funzionalità di molti smartphone che consente ai pendolari di effettuare un rapido pagamento mobile contactless, ad esempio, al tornello di una stazione della metropolitana, senza l’autenticazione delle impronte digitali.

Il punto debole risiede nei sistemi ApplePay e Visa che lavorano insieme e non influisce su altre combinazioni, come Mastercard in iPhone o Visa su Samsung Pay.

Utilizzando semplici apparecchiature radio, il team ha identificato un codice univoco trasmesso dai cancelli di transito, o tornelli. Questo codice, che i ricercatori hanno soprannominato i “byte magici”, sbloccherà Apple Pay. Il team ha scoperto di essere stato in grado di utilizzare questo codice per interferire con i segnali che passano tra l’iPhone e un lettore di carte del negozio. Trasmettendo i magic byte e modificando altri campi nel protocollo, sono stati in grado di ingannare l’iPhone facendogli credere che stesse parlando con un cancello di transito, mentre in realtà stava parlando con un lettore di negozi.

Allo stesso tempo, il metodo dei ricercatori convince il lettore del negozio che l’iPhone ha completato con successo l’autorizzazione dell’utente, quindi è possibile accettare pagamenti di qualsiasi importo all’insaputa dell’utente dell’iPhone.

La dottoressa Andreea Radu, della School of Computer Science dell’Università di Birmingham, ha guidato la ricerca. Ha detto: “Il nostro lavoro mostra un chiaro esempio di una funzionalità, pensata per rendere la vita più semplice in modo incrementale, ritorcendosi contro e con un impatto negativo sulla sicurezza, con conseguenze finanziarie potenzialmente gravi per gli utenti.

“Le nostre discussioni con Apple e Visa hanno rivelato che quando due parti del settore hanno ciascuna la colpa parziale, nessuna è disposta ad accettare la responsabilità e implementare una soluzione, lasciando gli utenti vulnerabili a tempo indeterminato”.

La coautrice, la dott.ssa Ioana Boureanu, del Center for Cyber ​​Security dell’Università del Surrey, ha aggiunto: “Mostriamo come una funzionalità di usabilità nei pagamenti mobili contactless può ridurre la sicurezza. Ma abbiamo anche scoperto progetti di pagamento mobile contactless, come Samsung Pay, che è sia utilizzabile che sicuro. Gli utenti ApplePay non dovrebbero dover rinunciare alla sicurezza per l’usabilità, ma, al momento, alcuni di loro lo fanno”.

Il coautore, il dottor Tom Chothia, anche lui della School of Computer Science dell’Università di Birmingham, ha dichiarato: “I possessori di iPhone dovrebbero verificare se hanno una carta Visa configurata per i pagamenti di transito e, in tal caso, dovrebbero disabilitarla. Non è necessario che gli utenti di Apple Pay siano in pericolo, ma finché Apple o Visa non lo risolvono lo sono.
Maggiori dettagli e un video di un pagamento di £ 1000 prelevato da un iPhone bloccato sono disponibili su https://practical_emv.gitlab.io 

Related Posts
iPhone, arriva il software spia
Per gli iPhone 12, 11 e X arriva il software spia, che permette di monitorare e controllare i telefoni su cui è installatoRoma, 8 aprile 2022 - Per gli iPhone 12, ...
READ MORE
iPhone, arriva il software spia