I ricercatori delle università di Surrey e Birmingham, nel Regno Unito, hanno dimostrato dal vivo una falla in Apple Pay che consente di addebitare qualsiasi importo da un iPhone bloccato, senza che il proprietario autorizzi nulla.
L’attacco è stato riprodotto dal canale Veritasium in collaborazione con lo youtuber MKBHD, a cui sono stati addebitati 10.000 $ sulla propria carta mentre il telefono era rivolto verso il basso, con lo schermo spento e senza alcuna interazione.
La falla combina la funzionalità di Carta Express per il trasporto con una lacuna nel protocollo di sicurezza specifico delle carte Visa.
Che cos’è la Carta Express per il trasporto
La Carta Express per il trasporto è una funzione di Apple Pay creata per facilitare l’uso del telefono ai tornelli della metropolitana e degli autobus.
L’idea è semplice: invece di sbloccare il dispositivo ogni volta che passi dal tornello, l’iPhone rileva automaticamente il segnale del terminale di trasporto e autorizza immediatamente il pagamento.
Niente Face ID, niente codice, nessuna azione da parte tua.
È una funzione pratica e ha senso in questo contesto. Nessuno vuole rallentare la fila della metropolitana nelle ore di punta.
Il problema è che i ricercatori hanno scoperto quale sia il segnale esatto che un tornello invia all’iPhone per attivare questa modalità.
Hanno quindi riprodotto quel segnale con una propria apparecchiatura, ingannando il dispositivo.
Per l’iPhone era come se fosse avvicinato a un tornello della metropolitana. Ma non lo era.
Come un pagamento da 10.000 $ passa senza verifica
Con l’iPhone convinto di trovarsi davanti a un tornello, la prima barriera è già superata: il dispositivo non richiede lo sblocco.
Ma restano comunque altre due protezioni.
L’iPhone distingue tra transazioni di basso e alto importo, richiedendo la conferma dell’utente per quelle più elevate. E il terminale di pagamento, ricevendo la risposta dall’iPhone, verifica che tale conferma sia effettivamente avvenuta.
I ricercatori aggirano entrambe.
Intercettano i dati trasmessi via aria tra iPhone e terminale e modificano due bit di informazione: uno che classifica l’importo della transazione come “basso” (anche se è di 10.000 $) e un altro che indica al terminale che l’utente ha già confermato il pagamento (anche se non ha fatto nulla).
La banca riceve tutto come valido, approva e il denaro viene addebitato.
Perché succede solo con Visa
Questo attacco non funziona con Mastercard.
La differenza sta in un livello di sicurezza che Mastercard richiede in tutte le transazioni: una firma digitale tra carta e terminale che rende impossibile modificare i dati senza essere rilevati.
Se qualcuno altera qualsiasi informazione lungo il percorso, la firma non corrisponde e la transazione viene rifiutata.
Visa richiede questo livello solo in situazioni specifiche, come quando il terminale è offline (caso comune nelle metropolitane sotterranee).
I ricercatori fanno in modo che il terminale sia online durante l’attacco e, così facendo, Visa semplicemente non attiva la verifica più robusta.
La vulnerabilità esiste in questa combinazione specifica: iPhone con Carta Express per il trasporto configurata con una carta Visa.
Non funziona nemmeno su Android. I dispositivi Samsung, ad esempio, in modalità trasporto accettano solo transazioni contactless a valore zero e addebitano l’importo totale successivamente.
Un terminale che tentasse di addebitare 10.000 $ in un’unica soluzione verrebbe immediatamente rifiutato.
Cosa hanno detto Apple e Visa
Apple ha dichiarato che il problema è di Visa.
Visa ha ammesso che questa possibilità esiste, ma ne minimizza l’importanza.
Sostiene che una frode su larga scala sia improbabile, di avere sistemi di rilevamento efficaci e che, se dovesse accadere, il consumatore può contestare l’addebito e verrà rimborsato.
La posizione delle due aziende oggi è esattamente la stessa del 2021, quando la vulnerabilità è stata divulgata per la prima volta. Quattro anni, zero cambiamenti.
Ciò che rende la risposta di Visa particolarmente difficile da accettare è che la soluzione tecnica esiste già ed è già in uso. Mastercard risolve questo problema richiedendo una firma digitale tra carta e terminale in tutte le transazioni, rendendo impossibile alterare i dati in transito senza essere rilevati.
Visa potrebbe fare lo stesso. Non è una limitazione tecnica, è una scelta.
Invece di chiudere la falla, Visa punta sul basso tasso di frodi contactless (2 centesimi ogni 100 dollari nelle transazioni in presenza) e sulla politica di rimborso come risposta sufficiente.
Ma questo sposta l’onere sul consumatore: accorgersi dell’addebito non autorizzato, contattare la banca, contestare la transazione e attendere.
Chi si ritrova con 10.000 $ in meno sul conto ne sentirà l’impatto prima di qualsiasi rimborso.
Come proteggersi
La soluzione più diretta è disattivare la Carta Express per il trasporto sul tuo iPhone.
Per farlo, vai su Impostazioni > Wallet e Apple Pay > Carta Express per il trasporto > Nessuna.
Vale la pena verificare, perché questa funzione viene attivata automaticamente quando aggiungi una carta compatibile ad Apple Pay, spesso senza che tu te ne accorga.
Se utilizzi Apple Pay solo con Mastercard, non c’è alcun rischio legato a questa specifica vulnerabilità. Ma se hai una carta Visa impostata come carta di trasporto, è consigliabile agire subito.
Il video completo di Veritasium, con la dimostrazione dal vivo e la spiegazione tecnica dettagliata di come funziona l’attacco, è disponibile qui sotto.
