Los investigadores de ciberseguridad han descubierto un error no parcheado en Apple Pay que los atacantes podrían usar para realizar un pago Visa no autorizado con un iPhone bloqueado mediante el modo de viaje exprés configurado en la billetera del dispositivo.
«Todo lo que un atacante necesita es un iPhone robado que esté encendido. Las transacciones también podrían pasarse desde un iPhone en el bolsillo de alguien sin su conocimiento», dijo un grupo de investigadores de la Universidad de Birmingham y la Universidad de Surrey. «El atacante no necesita ayuda del comerciante, y las comprobaciones de detección de fraude en el backend no detuvieron ninguno de nuestros pagos de prueba».
Express Travel es una función que permite a los usuarios de iPhone y Apple Watch pagar rápidamente el transporte público sin contacto sin tener que despertar o desbloquear el dispositivo, abrir una aplicación o incluso confirmar con Face ID, Touch ID o una contraseña.
El ataque de repetición y retransmisión Man-in-the-Middle (MitM), que pasa por alto la pantalla de bloqueo para realizar un pago ilegal a un lector EMV, es posible gracias a una combinación de errores en los sistemas Apple Pay y Visa, y no tiene influencia en, por ejemplo, Mastercard con Apple Pay o tarjetas Visa con Samsung Pay.
El Modus Operandi se basa en imitar una transacción de Transit Gate mediante el uso de un dispositivo Proxmark que se comunica con el iPhone de la víctima como un lector de tarjetas EMV y una aplicación de Android habilitada para NFC que actúa como un emulador de tarjeta para reenviar señales a una terminal de pago.
Específicamente, utiliza un código único, también conocido como Magic Bytes, enviado por las puertas de tránsito para desbloquear Apple Pay, creando un escenario en el que el dispositivo Apple es engañado para reproducir la secuencia de bytes Autorizar una transacción fraudulenta como si proviniera del boleto barrera cuando en realidad se activó a través de un terminal de pago sin contacto bajo el control del atacante.
Al mismo tiempo, también se simula en el lector EMV que se ha realizado la autenticación de usuario en el dispositivo, de forma que se pueden realizar pagos de cualquier importe sin el conocimiento del usuario de iPhone.
Apple y Visa fueron conscientes de la vulnerabilidad en octubre de 2020 y mayo de 2021, respectivamente, dijeron los investigadores, y agregaron: «Ambas partes reconocen la gravedad de la vulnerabilidad, pero no han acordado qué parte debería implementar una solución».
En un comunicado compartido con la BBC, Visa dijo que este tipo de ataque era «impráctico» y agregó: «Las variaciones de los intentos de fraude sin contacto se han estudiado en entornos de laboratorio durante más de una década y han demostrado ser poco prácticas de usar en el mundo real».
«Este es un problema con el sistema Visa, pero Visa no cree que este tipo de fraude sea probable en el mundo real debido a las múltiples capas de seguridad», dijo un portavoz de Apple a la emisora del Reino Unido.
