I ricercatori della School of Computer Science dell'Università di Birmingham e del Dipartimento di Informatica dell'Università del Surrey hanno scoperto una vulnerabilità in Apple Pay e Visa che potrebbe consentire a un attaccante di bypassare la schermata di blocco di Apple Pay di un iPhone ed eseguire pagamenti contactless.

La tecnica testata in laboratorio potrebbe inoltre essere utilizzata per aggirare il limite contactless e quindi finalizzare transazioni di qualsiasi importo. La falla emerge quando le carte Visa sono impostate in modalità Express Transit nel portafoglio iPhone. Tale modalità è una funzione disponibile su molti smartphone. Consente ai titolari del servizio di effettuare un pagamento contactless rapido, senza l'autenticazione mediante impronte digitali, per esempio ai tornelli della stazione della metropolitana.

Da notare che tale vulnerabilità riguarda solo il biniomio ApplePay e Visa. Non influisce su altre combinazioni, come Mastercard e Apple Pay o Visa e Samsung Pay.

Il test

Il test è stato condotto utilizzando semplici apparecchiature radio, che hanno permesso di identificare il codice univoco trasmesso dai tornelli. Tale codice, che i ricercatori hanno soprannominato Magic Bytes, sblocca Apple Pay autorizzando la transazione senza richiedere l'impronta digitale.

Una volta superato questo passaggio è stato possibile sfruttare lo stesso Magic Bytes per interferire con i segnali che intercorrono tra l'iPhone e un lettore di carte di credito in qualsiasi negozio. È bastato trasmettere i Magic Bytes e cambiare pochi altri campi nel protocollo, per far credere all'iPhone di essere in contatto con un tornello anziché un POS in un negozio.

L'esperimento ha inoltre confermato che i pagamenti di qualsiasi importo possono essere effettuati all'insaputa dell'utente dell'iPhone. La transazione fraudolenta, infatti, non inganna solo l'iPhone, ma anche il POS, secondo il quale Apple Pay ha completato con successo la transazione con l'autorizzazione dell'utente, che quindi non viene interpellato per conferma.

Il professore Andreea-Ina Radu della School of Computer Science dell'Università di Birmingham ha commentato che "il lavoro condotto dal gruppo di ricerca dimostra un chiaro esempio di una funzionalità destinata a semplificare la vita degli utenti, che gli si ritorce contro aggirando la sicurezza, con conseguenze finanziarie potenzialmente gravi".

La sicurezza è più importante della comodità

I ricercatori prendono spunto da quanto scoperto per sottolineare che gli utenti ApplePay non dovrebbero dover scambiare la sicurezza per l'usabilità, cosa che al momento accade. Il co-autore della ricerca Tom Chothia della School of Computer Science dell'Università di Birmingham consiglia ai proprietari di iPhone di "verificare se hanno una carta Visa per la quale è attivata la modalità Express Transit e, in tal caso, di disabilitarla […] fino a quando Apple o Visa non risolveranno la vulnerabilità rilevata". Gli spunti per trovare una soluzione non mancano, dato che Samsung Pay è sia comodo che sicuro.

Quello che occorre è la volontà di trovare un rimedio, su cui Radu nutre qualche dubbio. Denuncia infatti che "le nostre discussioni con Apple e Visa hanno rivelato che quando due parti in causa hanno ciascuna una colpa parziale, nessuno dei due è disposto ad accettare la responsabilità e implementare una correzione, lasciando gli utenti vulnerabili a tempo indeterminato". È auspicabile che questo non accada.

I risultati completi della ricerca saranno presentati al 2022 IEEE Symposium on Security and Privacy. Nel frattempo maggiori dettagli sono online a questa pagina.