Investigadores del Reino Unido han demostrado cómo se pueden realizar grandes pagos sin contacto no autorizados en iPhones bloqueados mediante la explotación de la función Express Transit de Apple Pay cuando se configura con Visa.
Express Transit es una función de Apple Pay que permite el pago “tap and go” en las barreras de entrada, eliminando la necesidad de autenticarse con Face ID, Touch ID o un código de acceso. No es necesario activar o desbloquear el dispositivo para utilizar Express Transit.
Investigadores de Ciencias de la Computación de las Universidades de Birmingham y Surrey demostraron al BBC cómo funciona el ataque al explotar una debilidad en el sistema sin contacto de Visa mediante el uso de una pequeña pieza de equipo de radio disponible comercialmente, que se coloca cerca del teléfono y se hace pasar por una barrera de entrada.
Un teléfono Android que ejecuta una aplicación desarrollada por los investigadores se utiliza para transmitir señales desde el iPhone a un terminal de pago sin contacto y modifica las comunicaciones para engañar al terminal para que actúe como si el iPhone hubiera sido desbloqueado y se hubiera autorizado un pago.
Para demostrar el ataque, los investigadores realizaron un pago Visa sin contacto de £ 1,000 desde un iPhone bloqueado. Los científicos solo tomaron dinero de sus propias cuentas. Los investigadores dijeron que el teléfono Android y la terminal de pago utilizados no necesitan estar cerca del iPhone de la víctima siempre que haya una conexión a Internet.
Apple le dijo al BBC el asunto era un problema con el sistema Visa.
“Nos tomamos muy en serio cualquier amenaza a la seguridad de los usuarios”, dijo Apple. “Esta es una preocupación con el sistema Visa, pero Visa no cree que este tipo de fraude pueda ocurrir en el mundo real dadas las múltiples capas de seguridad existentes. En el caso poco probable de que ocurra un pago no autorizado, Visa ha hecho está claro que los titulares de sus tarjetas están protegidos por la política de responsabilidad cero de Visa “.
Los investigadores dijeron que el ataque podría ser más fácil de implementar contra un iPhone robado, aunque no hay evidencia de que el hack se haya utilizado en la naturaleza. Visa dijo que los pagos eran seguros y que los ataques de este tipo no eran prácticos fuera de un laboratorio.
“Las tarjetas Visa conectadas a Apple Pay Express Transit son seguras y los titulares de tarjetas deben seguir usándolas con confianza”, dijo un portavoz de Visa. “Las variaciones de los esquemas de fraude sin contacto se han estudiado en entornos de laboratorio durante más de una década y han demostrado ser poco prácticos para ejecutar a escala en el mundo real”.
Los investigadores le dijeron al BBC Se acercaron por primera vez a Apple y Visa con sus preocupaciones hace casi un año, pero a pesar de las conversaciones “útiles”, el problema aún no se ha solucionado. Los investigadores también probaron Express Transit con Mastercard, pero descubrieron que la forma en que funciona su seguridad evitó el ataque.
“Tiene cierta complejidad técnica”, dijo la Dra. Andreea Radu, de la Universidad de Birmingham, quien dirigió la investigación. “Pero creo que las recompensas por hacer el ataque son bastante altas. En unos años, esto podría convertirse en un problema real”.
El Dr. Tom Chothia, también de la Universidad de Birmingham, aconsejó a los usuarios de iPhone que verifiquen si tienen una tarjeta Visa configurada para usar Express Transit y, de ser así, la desactiven. “No hay necesidad de que los usuarios de Apple Pay estén en peligro, pero hasta que Apple o Visa solucionen esto, lo están”, dijo.
