En un video, los investigadores demostraron cómo realizar un pago Visa sin contacto de £ 1,000 desde un iPhone bloqueado. Apple dijo que el asunto era "una preocupación con un sistema Visa".Visa dijo que los pagos eran seguros y que los ataques de este tipo no eran prácticos fuera de un laboratorio.
El problema, dicen los investigadores, se aplica a las tarjetas Visa configuradas en modo ' Express Transit ' en la billetera de un iPhone.
"Express Transit" es una función de Apple Pay que permite a los viajeros realizar pagos rápidos sin contacto sin desbloquear su teléfono, por ejemplo, tocar dentro y fuera de una barrera de boletos del metro de Londres.
Es una debilidad en cómo funcionan los sistemas Visa con esta característica, que investigadores de los departamentos de Ciencias de la Computación de las Universidades de Birmingham y Surrey, descubrieron cómo atacar.
Ataque de relevo
Para demostrar el ataque, los científicos solo tomaron dinero de sus propias cuentas.
En términos muy simples, y con muchos detalles clave omitidos deliberadamente, el ataque funciona así:
- una pequeña pieza de equipo de radio disponible comercialmente se coloca cerca del iPhone, lo que lo engaña haciéndole creer que se trata de una barrera de entrada.
- Al mismo tiempo, se usa un teléfono Android que ejecuta una aplicación desarrollada por los investigadores para transmitir señales desde el iPhone a una terminal de pago sin contacto; esto podría ser en una tienda o en una de las tiendas que controlan los delincuentes.
- Debido a que el iPhone cree que está pagando una barrera de entrada, no es necesario desbloquearlo.
- Mientras tanto, las comunicaciones del iPhone con el terminal de pago se modifican para engañarlo haciéndole creer que el iPhone ha sido desbloqueado y un pago autorizado, lo que permite realizar transacciones de alto valor sin ingresar un PIN, huella digital o usar Face ID.
En un video de demostración visto por la BBC, los investigadores pudieron realizar un pago Visa de £ 1,000 sin desbloquear el teléfono o autorizar el pago.Los investigadores dicen que el teléfono Android y el terminal de pago utilizados no necesitan estar cerca del iPhone de la víctima."Puede ser en otro continente desde el iPhone siempre que haya una conexión a Internet", dijo la Dra. Ioana Boureanu de la Universidad de Surrey.
Teléfonos robados
Hasta ahora, los investigadores han demostrado el ataque solo en el "laboratorio", y no hay evidencia de que los delincuentes estén explotando el ataque. Ken Munro, un investigador de seguridad de Pen Test Partners, que no participó en la investigación, le dijo a la BBC que era "una investigación realmente innovadora" y que debía solucionarse rápidamente.Dijo que es un ataque similar a tener una terminal de tarjeta de crédito sin contacto golpeada contra su billetera o bolso.
Pero este ataque fue bastante más insidioso, dijo, ya que ya no necesita el terminal de la tarjeta, solo una pequeña caja de dispositivos electrónicos que puede transmitir la transacción fraudulenta a otra parte."Quizás la mayor preocupación es la pérdida o el robo de un teléfono. El delincuente ya no tiene que preocuparse por ser descubierto por otros mientras llevan a cabo el ataque".Los investigadores de la universidad también dijeron que el ataque podría ser más fácil de implementar contra un iPhone robado.
Visa opinaba que este tipo de ataque era "poco práctico".
Le dijo a la BBC que se tomaba en serio todas las amenazas a la seguridad, pero que "las tarjetas Visa conectadas a Apple Pay Express Transit son seguras y los titulares de las tarjetas deben seguir utilizándolas con confianza"."Las variaciones de los esquemas de fraude sin contacto se han estudiado en entornos de laboratorio durante más de una década y han demostrado ser poco prácticos para ejecutar a escala en el mundo real".
Es posible, por ejemplo, que los sistemas de detección de fraude de Visa detecten y bloqueen patrones de gasto inusuales, aunque los investigadores no encontraron este problema en sus pruebas de laboratorio.
También existe el problema práctico de acercarse al teléfono de una víctima.
Cualquiera que crea que ha perdido su teléfono puede usar iCloud de Apple para bloquear Apple Pay o borrar el teléfono, y también puede alertar a Visa y bloquear pagos. Apple le dijo a la BBC: "Nos tomamos muy en serio cualquier amenaza a la seguridad de los usuarios. Esta es una preocupación con el sistema Visa, pero Visa no cree que este tipo de fraude pueda ocurrir en el mundo real dadas las múltiples capas de seguridad en lugar". "En el improbable caso de que ocurra un pago no autorizado, Visa ha dejado en claro que los titulares de sus tarjetas están protegidos por la política de responsabilidad cero de Visa".
Pero la Dra. Andreea Radu, de la Universidad de Birmingham que dirigió la investigación, le dijo a la BBC que los ataques complejos que el trabajo en el laboratorio pueden terminar siendo utilizado por delincuentes."Tiene cierta complejidad técnica, pero creo que las recompensas por hacer el ataque son bastante altas", dijo, y agregó que si no se aborda "en unos pocos años, esto podría convertirse en un problema real".
El Dr. Tom Chothia, también de la Universidad de Birmingham, dijo que los propietarios de iPhone deben verificar si tienen una tarjeta Visa configurada para pagos en tránsito y, de ser así, deben desactivarla."No es necesario que los usuarios de Apple Pay estén en peligro, pero hasta que Apple o Visa solucionen esto, lo están", dijo.
Sistemas seguros
Los investigadores también probaron Samsung Pay, pero descubrieron que no se podía explotar de esta manera.También probaron Mastercard, pero descubrieron que la forma en que funciona su seguridad evitó el ataque.La coautora, la Dra. Ioana Boureanu, de la Universidad de Surrey, dijo que esto mostraba que los sistemas podían ser "tanto utilizables como seguros".La investigación se presentará en el Simposio sobre seguridad y privacidad del IEEE de 2022.
[Fuente]: bbc.com
Anónimo.( 29 de setiembre de 2021). teléfono bloqueado .[Fotografía]. Recuperado de bbc.com