Investigadores de ciberseguridad han revelado un fallo no parcheado en Apple Pay del que los atacantes podrían abusar para realizar un pago Visa no autorizado con un iPhone bloqueado aprovechando el modo de viaje exprés configurado en el monedero del dispositivo.
«Un atacante solo necesita un iPhone robado y encendido. Las transacciones también podrían realizarse desde un iPhone dentro del bolso de alguien, sin que éste lo sepa», afirma un grupo de académicos de la Universidad de Birmingham y la Universidad de Surrey. «El atacante no necesita la ayuda del comerciante y las comprobaciones de detección de fraude en el backend no han detenido ninguno de nuestros pagos de prueba».
Express Travel es una función que permite a los usuarios de iPhone y Apple Watch realizar pagos rápidos sin contacto para el transporte público sin tener que despertar o desbloquear el dispositivo, abrir una app o incluso validar con Face ID, Touch ID o un código de acceso.
El ataque de repetición y retransmisión del hombre en el medio (MitM), que consiste en saltarse la pantalla de bloqueo para realizar un pago a cualquier lector EMV de forma ilícita, es posible gracias a una combinación de fallos tanto en Apple Pay como en el sistema de Visa, y no afecta, por ejemplo, a las tarjetas Mastercard en Apple Pay o a las Visa en Samsung Pay.
El modus operandi se basa en la imitación de una transacción de tránsito utilizando un dispositivo Proxmark que actúa como un lector de tarjetas EMV que se comunica con el iPhone de la víctima y una aplicación Android con NFC que funciona como un emulador de tarjetas para transmitir señales a un terminal de pago.
En concreto, se aprovecha de un código único (Magic Bytes) emitido por las barreras de tránsito para desbloquear Apple Pay, lo que da lugar a un escenario en el que, al reproducir la secuencia de bytes, se engaña al dispositivo de Apple para que autorice una transacción fraudulenta como si se hubiera originado en la barrera de billetes, cuando, en realidad, se ha activado a través de un terminal de pago sin contacto bajo el control del atacante.
Al mismo tiempo, también se engaña al lector EMV haciéndole creer que se ha realizado la autenticación del usuario en el dispositivo, lo que permite realizar pagos de cualquier importe sin que el usuario del iPhone lo sepa.
Apple y Visa fueron alertados de la vulnerabilidad en octubre de 2020 y mayo de 2021, respectivamente, dijeron los investigadores, añadiendo, «ambas partes reconocen la gravedad de la vulnerabilidad, pero no han llegado a un acuerdo sobre qué parte debe implementar una solución.»
En una declaración compartida con la BBC, Visa dijo que este tipo de ataque era «poco práctico», y agregó: «Las variaciones de los esquemas de fraude sin contacto se han estudiado en entornos de laboratorio durante más de una década y han demostrado ser poco prácticas para ejecutar a escala en el mundo real.»
«Esto es una preocupación con un sistema de Visa, pero Visa no cree que este tipo de fraude sea probable en el mundo real dadas las múltiples capas de seguridad existentes», dijo un portavoz de Apple a la cadena nacional del Reino Unido.