Las vulnerabilidades de Visa y Apple Pay dejan a los usuarios de iPhone expuestos al fraude de pagos

Las vulnerabilidades en Apple Pay y Visa podrían permitir a los piratas informáticos eludir la pantalla de bloqueo de Apple Pay de un iPhone y realizar pagos sin contacto, según una investigación de la Universidad de Birmingham y la Universidad de Surrey.

Los expertos de la Facultad de Ciencias de la Computación de la Universidad de Birmingham y del Departamento de Ciencias de la Computación de la Universidad de Surrey descubrieron que su enfoque también podría usarse para evitar el límite sin contacto que permite realizar transacciones de cualquier monto. Sus resultados se presentarán en una ponencia en el 2022 Simposio IEEE sobre seguridad y privacidad.

Los investigadores descubrieron que la vulnerabilidad se produce cuando las tarjetas Visa se configuran en ‘modo Express Transit’ en la billetera de un iPhone. El modo de tránsito es una función de muchos teléfonos inteligentes que permite a los viajeros realizar un pago móvil sin contacto rápido en, por ejemplo, el torniquete de una estación subterránea, sin autenticación de huellas dactilares.

La debilidad radica en que los sistemas Apple Pay y Visa funcionan juntos y no afecta otras combinaciones, como Mastercard en iPhones o Visa en Samsung Pay.

Usando un equipo de radio simple, el equipo identificó un código único transmitido por las puertas de tránsito o torniquetes. Este código, que los investigadores apodaron ‘bytes mágicos’ desbloqueará Apple Pay. El equipo descubrió que luego pudieron usar este código para interferir con las señales que van entre el iPhone y un lector de tarjetas de la tienda. Al transmitir los bytes mágicos y cambiar otros campos en el protocolo, pudieron engañar al iPhone haciéndole creer que estaba hablando con una puerta de tránsito, mientras que en realidad, estaba hablando con un lector de la tienda.

Al mismo tiempo, el método de los investigadores persuade al lector de la tienda de que el iPhone había completado con éxito su autorización de usuario, por lo que se pueden realizar pagos de cualquier monto sin el conocimiento del usuario del iPhone.

La Dra. Andreea Radu, de la Facultad de Ciencias de la Computación de la Universidad de Birmingham, dirigió la investigación. Ella dijo: «Nuestro trabajo muestra un claro ejemplo de una función, destinada a hacer la vida más fácil de manera incremental, fracasando y afectando negativamente la seguridad, con consecuencias financieras potencialmente graves para los usuarios.

«Nuestras conversaciones con Apple y Visa revelaron que cuando dos partes de la industria tienen cada una parte de la culpa, ninguna está dispuesta a aceptar la responsabilidad e implementar una solución, dejando a los usuarios vulnerables indefinidamente».

La coautora, la Dra. Ioana Boureanu, del Centro de Seguridad Cibernética de la Universidad de Surrey, agregó: «Mostramos cómo una función de usabilidad en los pagos móviles sin contacto puede reducir la seguridad. Pero también descubrimos diseños de pagos móviles sin contacto, como Samsung Pay , que es utilizable y seguro. Los usuarios de Apple Pay no deberían tener que sacrificar la seguridad por la facilidad de uso, pero, por el momento, algunos lo hacen «.

El coautor, el Dr. Tom Chothia, también de la Facultad de Ciencias de la Computación de la Universidad de Birmingham, dijo: «Los propietarios de iPhone deben verificar si tienen una tarjeta Visa configurada para pagos en tránsito y, de ser así, deben desactivarla. no es necesario que los usuarios de Apple Pay estén en peligro, pero hasta que Apple o Visa solucionen esto, lo estarán «.

Más detalles de un pago de £ 1000 que se realiza desde un iPhone bloqueado están disponibles en practic_emv.gitlab.io