La informatización de procesos tan mundanos como el de comprar en una tienda ha dado muchas ventajas a los usuarios, como la popularización de los pagos contactless en España. Sin embargo, a veces las vulnerabilidades de estos sistemas pueden jugarnos una mala pasada, tal y como han descubierto desde este grupo de investigadores.
Investigadores de la Universidad de Birminghan, Andreea-Ina Radu y Tom Clothia han publicado una investigación que muestra una vulnerabilidad en el sistema de pagos de Apple Pay.
El paper, publicado en conjunto con los doctores Ioana Boureanu, Cristpher JP Newton y Liquin Chen (Universidad de Surrey), detalla que es posible realizar transacciones ilícitas mediante contactless saltándose la seguridad de Apple, incluyendo la pantalla de bloqueo del iPhone.
Este problema reside en el sistema Apple Pay respecto a las tarjetas Visa. Potencialmente, el fallo permitiría a un atacante 'saltarse' la pantalla de bloqueo del dispositivo de la víctima, realizando pagos en contra de la voluntad del dueño. El fallo se produce cuando se configuran estas tarjetas en modo Express Transit.
Este modo permite pagar los viajes en transporte usando una tarjeta de crédito, tránsito o débito de forma rápida, sin necesidad siquiera de desbloquear el iPhone o Apple Watch. Los investigadores lo muestran en un vídeo, consiguiendo eludir todos los sistemas de seguridad y robando hasta 1.000 libras de una cuenta ajena.
Apple PayChristiann Koepke Unsplash
Express Transit no necesita de ningún tipo de autentificación, ni Touch ID, ni Face ID ni ningún tipo de contraseña. El atacante tiene que interferir en el código de transmisión que se usa en las puertas y torniquetes TfL (Transport for London).
Al acceder a dicho código, descubrieron que podían 'engañar' al iPhone para que pensara que se estaba comunicando con una de estas puertas, en lugar de con un lector EMV. Los investigadores tan solo necesitaron un iPhone, un ordenador portátil, un emulador de tarjetas y un lector EMV.
Pagos móviles
Los autores del estudio usaron como emuladores de lector y tarjeta un dispositivo Proxmark y un Android con NFC. El Proxmark se comunicó con el iPhone y el teléfono Android, se usaba como terminal de pago. "Conectamos Proxmark a un ordenador portátil mediante USB, y luego este transmitía los mensajes al emulador de tarjetas por WiFi. El Proxmark también se puede comunicar mediante Bluetooth con el teléfono Android".
Los sistemas de detección de fraudes de Apple no impidieron el robo, independientemente de la cantidad robada. Los investigadores, en su documento, echan la culpa a "la falta de controles realizados en el iPhone y a la falta de controles en el backend de Visa [...] Apple Pay no es vulnerable con MasterCard y a su vez MasterCard y Visa no son vulnerables con Samsung Pay".
Apple Pay
Además de ello, los investigadores critican que Apple no establezca ningún control sobre el pago realizado en el modo Express Transit. Explican que pagos tan altos, como los de 1.000 libras, no se realizarían nunca en este modo.
Antes de que desactives tu tarjeta Express Transit en Apple Pay, debemos aclarar que este ataque es prácticamente irrealizable al menos en condiciones normales. Los investigadores admiten que se necesitan muchas condiciones muy específicas para llevar a cabo el ataque. En primer lugar, que el atacante deba tener un iPhone con una tarjeta Visa configurada en este modo.
Pero el aspecto más importante de esta vulnerabilidad es que está limitada solo a pagos en tránsito, por lo que tendríamos que extraer ese dinero de métodos de transporte y no de establecimientos, donde los pagos tienen medidas de seguridad mayores. Eso sin contar que en estos casos, se requiere la intervención del dueño de la víctima y que se necesita equipo específico, como los emuladores, el ordenador portátil, etcétera.
Aún con todo, los investigadores han dejado claro que se deben mejorar "los diseños de seguridad" de Apple y Visa. Aunque estos ataques sean muy poco probables, estos fallos deben ser subsanados ya que un atacante experto en estos casos podría realizarle una jugarreta demasiado problemática a un usuario descuidado.
1737