Los expertos muestran los pagos sin contacto desde el iPhone bloqueado con Apple Pay y la tarjeta Visa
Last Updated on octubre 17, 2022 by Daniel Cepeda
Los investigadores han revelado una forma de realizar pagos fraudulentos utilizando Apple Pay con una tarjeta Visa en un iPhone bloqueado. Este fraude funciona “por aire” aunque el iPhone esté en un bolso o bolsillo, y no tiene límite de transacciones. En el simposio del IEEE se presentará un informe sobre este problema de los pagos fraudulentos con Apple Pay.
Los investigadores de la Universidad de Birmingham y de la Universidad de Surrey publicaron sus resultados, descubriendo que el iPhone puede validar casi cualquier transacción bajo ciertas condiciones.
Normalmente, un usuario de iPhone tendría que desbloquear el dispositivo mediante Face ID, Touch ID o una contraseña para que el pago se realice.
Sin embargo, en algunos casos esto es un inconveniente, como cuando se paga el transporte público.
En estos casos, Apple Pay incluye Tránsito Express, que permite realizar transacciones sin desbloquear el dispositivo.
Express Transit, por ejemplo, funciona con torniquetes de transporte y lectores de tarjetas que envían una secuencia de bytes no estándar para eludir la pantalla de bloqueo de Apple Pay. Los investigadores nos dicen que cuando se combina con una tarjeta Visa.
Esta función puede utilizarse para saltarse la pantalla de bloqueo de Apple Pay y pagar ilegalmente desde un iPhone bloqueado, utilizando cualquier lector EMV, por cualquier cantidad y sin autorización del usuario.
Así, los expertos pudieron simular una transacción en el torniquete utilizando un dispositivo Proxmark, que actuaba como lector de tarjetas, que se comunicaba con el iPhone objetivo, así como un smartphone Android con NFC que se comunicaba con el terminal de pago.
El método es esencialmente un ataque MitM de tipo repetición y retransmisión en el que Proxmark reproduce “bytes mágicos” al iPhone para engañar al dispositivo haciéndole creer que se trata de una transacción en el torniquete, por lo que no se requiere la autenticación del usuario para autorizar el pago.
Los representantes de Visa dijeron a Bleeping Computer lo siguiente:
Las tarjetas Visa conectadas a Apple Pay Express Transit son seguras y los titulares pueden seguir utilizándolas con confianza. Las opciones para los esquemas de fraude sin contacto se han estudiado en el laboratorio durante más de una década, pero se consideraron inadecuadas para su implantación a gran escala en el mundo real.
Al profundizar en el problema, los investigadores descubrieron que podían cambiar los Calificadores de Transacción de Tarjetas (CTQ) responsables de establecer los límites de las transacciones sin contacto.
De este modo, lograron engañar al lector de tarjetas para que la autenticación en el dispositivo móvil pudiera completarse con éxito.
Como resultado de los experimentos, los investigadores fueron capaces de completar una transacción de 1.000€ desde un iPhone bloqueado, y probaron con éxito dicho ataque en el iPhone 7 y el iPhone 12.
I have no idea why @A1ex_S had decided to send me this video at night.
Maybe he was excited that we can pay with uncharged stolen iPhones, but I know that for about 2 weeks already.
Or maybe he is just presenting his new fancy ThinkPad… pic.twitter.com/NHI5xL5RHx
— Timur Yunusov (@a66ot) June 23, 2021
No obstante, hay que señalar que las pruebas sólo tuvieron éxito con iPhones y tarjetas Visa (en el caso de Mastercard, se realiza una comprobación para asegurar que el iPhone bloqueado sólo realiza transacciones con lectores de tarjetas, como los de los transportes).
Al estudiar Samsung Pay, los investigadores llegaron a la conclusión de que las transacciones con dispositivos Samsung bloqueados son posibles, pero el valor es siempre cero, y los proveedores de transporte cobran peajes basados en los datos asociados a esas transacciones.
Los expertos dicen haber comunicado sus conclusiones a los ingenieros de Apple y Visa en octubre de 2020 y mayo de 2021, pero las empresas siguen sin solucionar el problema.
Nuestras conversaciones con Apple y Visa revelaron que ambas partes tienen parte de la culpa, pero ninguna está dispuesta a asumir la responsabilidad e implementar una solución, dejando a los usuarios vulnerables indefinidamente”, dicen los autores del estudio.
También hay que señalar que los investigadores de las universidades británicas no son los primeros en descubrir este problema.
Here we have a locked phone, a £1 payment that goes through, but the phone happily informs you that it didn't work. But it did, hehe… pic.twitter.com/kAqdyXV9JW
— Timur Yunusov (@a66ot) June 1, 2021
Este mismo verano, Timur Yunusov, experto en SI de Positive Technologies, demostró ataques similares en su cuenta de Twitter, y hablará del problema en Black Hat Europe en noviembre de 2021.
Anteriormente