Pesquisadores acadêmicos descobriram uma maneira de fazer pagamentos fraudulentos usando o Apple Pay a partir de um iPhone bloqueado com um cartão Visa na carteira digital com modo expresso ativado. O método é uma versão digital de um batedor de carteiras. Funciona remotamente, mesmo se o iPhone estiver em uma bolsa ou no bolso de alguém e não houver limite de transação. A descoberta foi publicada pelo site Bleeping Computer.
Analisando os ataques de retransmissão em pagamentos sem contato, pesquisadores da Universidade de Birmingham e da Universidade de Surrey, no Reino Unido, descobriram que o iPhone confirma as transações sob certas condições. Para que um pagamento seja realizado, os usuários do iPhone precisam autorizá-lo desbloqueando o telefone usando o Face ID, Touch ID ou uma senha. Em alguns casos, porém, como pagar passagem no transporte público, desbloquear o dispositivo torna o processo de pagamento complicado.
O Apple Pay resolveu o problema com o Express Transit, um recurso que permite que uma transação seja realizada sem desbloquear o dispositivo. O Express Transit funciona para serviços específicos, como tíquete para abrir uma cancela, com leitores de cartão que enviam uma sequência não padrão de bytes que ignora a tela de bloqueio do Apple Pay.
“Em combinação com um cartão Visa, este recurso pode ser utilizado para contornar a tela de bloqueio do Apple Pay e realizar o pagamento de forma ilícita a partir de um iPhone bloqueado, usando um cartão Visa, para qualquer leitor de EMV (método de pagamento baseado em um padrão técnico para cartões de pagamento inteligentes), por qualquer valor, sem autorização do usuário”.
Os pesquisadores foram capazes de emular uma transação com tíquete para abrir uma cancela usando um dispositivo Proxmark atuando como um leitor de cartão que se comunica com o iPhone de destino e um smartphone Android com um chip NFC (de comunicação por campo de proximidade) que se comunica com um terminal de pagamento.
Veja isso
VISA alerta para roubo de cartões com utilização de web shells
Justiça pressiona Apple por backdoor na criptografia do iPhone
O método é um replay de um ataque man-in-the-middle ou de retransmissão, em que o Proxmark reproduz os “bytes mágicos” para o iPhone para enganá-lo e fazê-lo acreditar que é uma transação legal, para autenticação do usuário e autorizar o pagamento. Man-in-the-middle é uma forma de ciberataque em que o criminoso age como um intermediário entre a vítima e um site de banco ou mesmo outros usuários, por exemplo.
O ataque é mais complicado do que isso. Os pesquisadores explicam que certos sinalizadores precisam ser definidos modificando alguns bits para permitir a autenticação de dados offline para transações online, usados em leitores que podem ter conectividade intermitente (por exemplo, entradas do sistema de trânsito).
Os pesquisadores descobriram que poderiam modificar os qualificadores de transação de cartão (CTQ) responsáveis por definir limites de transações sem contato. Essa modificação é para enganar o leitor de cartão, dizendo que a etapa de autenticação no dispositivo móvel foi concluída com êxito. Durante o experimento, os pesquisadores conseguiram fazer uma transação a partir de um iPhone bloqueado. Eles testaram o ataque com sucesso no iPhone 7 e no iPhone 12.
Os testes foram bem-sucedidos apenas com cartões iPhone e Visa. Com o Mastercard, uma verificação é realizada para garantir que um iPhone bloqueado aceita transações apenas de leitores de cartão com um código de comerciante de trânsito. Tentando o método com o Samsung Pay, os pesquisadores descobriram que as transações são sempre possíveis com dispositivos Samsung bloqueados. No entanto, o valor é sempre zero e os fornecedores de transporte cobram pelos bilhetes com base nos dados associados a essas transações.
As descobertas foram enviadas à Apple e à Visa em outubro de 2020 e maio deste ano, respectivamente, mas nenhuma delas resolveu o problema. Em vez disso, elas passaram o fardo da correção uma para a outra, de modo que a vulnerabilidade ainda está presente e pode ser explorada com hardware e software de prateleira.