Apple Pay, la tecnologia di pagamenti contactless per iPhone e device Apple, è uno dei servizi di mobile payment più popolari al mondo. Nel 2020 è stato attivato da oltre 65 milioni di persone (dati: Statista) ed è cresciuto molto sulla spinta della pandemia di Covid. Facile da attivare e usare, consente di pagare con lo smartphone nei negozi, ristoranti e online senza usare contanti o carte associando le principali carte di credito e di debito (Visa, MasterCard, American Express…).
Considerato da sempre un metodo molto sicuro per pagare contactless, adesso spuntano dubbi sulla sicurezza di Apple Pay dopo una ricerca britannica che ha scoperto delle vulnerabilità del servizio che possono esporre l’utente al rischio di frodi.
Apple Pay a rischio frodi: la ricerca
Gli esperti della School of Computer Science dell’Università di Birmingham e del Department of Computer Science dell’Università del Surrey hanno scoperto un bug nei sistemi Apple e Visa tramite cui gli hacker potrebbero riuscire a bypassare la schermata di blocco di iPhone ed effettuare pagamenti contactless non autorizzati con Apple Pay.
Gli studiosi hanno scoperto che la vulnerabilità quando le carte Visa sono impostate in modalità Express Transit, una funzionalità di Apple Pay (non disponibile in Italia) che consente il pagamento tap-and-go ai tornelli senza bisogno di autenticarsi con FaceId o passcode. La funzionalità è stata progettata per consentire ai pendolari e a chi prende i mezzi pubblici di pagare rapidamente il titolo di viaggio alle barriere nelle stazioni metro.
Come avviene il furto contactless
Gli esperti hanno provato a fare un pagamento contactless di 1000£ con Visa tramite Apple Pay da un iPhone bloccato e senza che fosse autorizzato il pagamento, e ci sono riusciti. Come riporta BBC, l’attacco funziona così: viene posizionato vicino all’iPhone un piccolo apparecchio radio reperibile facilmente in commercio che finge di essere un tornello per la convalida dei biglietti. Intanto un telefono Android che esegue un’applicazione sviluppata dai ricercatori viene utilizzata per trasmettere segnali dall’iPhone a un terminale di pagamento contactless. Visto che iPhone “pensa” di pagare al tornello, non ha bisogno di essere sbloccato. Nel frattempo le comunicazioni dell’iPhone con il terminale di pagamento vengono modificate per ingannarlo a pensare di essere stato sbloccato e il pagamento sia stato autorizzato, consentendo di effettuare pagamenti di alto valore senza inserire PIN o FaceID.
Il problema si verifica solo utilizzando Express Transit con Visa: i ricercatori hanno provato con MasterCard ma le funzionalità di sicurezza hanno impedito l’attacco.
I ricercatori hanno affermato che lo smartphone Android e il terminale di pagamento utilizzati per la truffa non devono essere per forza vicino all’iPhone della vittima per funzionare. “Può essere anche in un altro continente, finché c’è una connessione internet” spiega a BBC la dott.ssa Ioana Boureanu dell’Università del Surrey, del team di ricerca.
Gli esperti autori dello studio hanno detto di aver comunicato il difetto nel servizio a Apple nell’ottobre 2020 e a Visa nel maggio 2021. Tuttavia le due le aziende non sarebbero state in grado di collaborare su una soluzione poiché, spiegano i ricercatori, “nessuna delle due è disposta ad accettare la propria responsabilità e implementare una soluzione, lasciando gli utenti vulnerabili a tempo indeterminato”.
Apple Pay è sicuro
Visa ha replicato affermando che i pagamenti sono sicuri e che attacchi di questo tipo fuori “dai laboratori” sono impraticabili. In effetti i ricercatori hanno dimostrato la fattibilità dell’attacco solo in laboratorio e non ci sono prove che i criminali stiano attualmente sfruttando le vulnerabilità per frodare gli utenti Apple Pay.
Un esperto di sicurezza Pen Test Partners, Ken Munro, non coinvolto nella ricerca britannica e interpellato da BBC ha detto che questa ricerca è davvero innovativa e che bisogna risolvere il problema rapidamente. Si tratta, dice, di un metodo non tanto diverso dalla truffa del contatless che avviene tramite utilizzo fraudolento del POS avvicinando il dispositivo alle borse e alle tasche dei pantaloni dove sono custoditi i portafogli con dentro le carte contactless.
Il co-autore della ricerca, il dottor Tom Chothia, della School of Computer Science dell’Università di Birmingham, ha dichiarato: “I possessori di iPhone dovrebbero verificare se hanno una carta Visa configurata con Express Transit e, in tal caso, dovrebbero disabilitarla. Non per forza gli Apple Pay sono in pericolo, ma finché Apple o Visa non risolvono il bug, lo sono”.
La ricerca sarà presentata al 43° IEEE Symposium on Security and Privacy nel maggio 2022,