Les vulnérabilités de Visa et Apple Pay exposent les utilisateurs d’iPhone à la fraude aux paiements

Des vulnérabilités dans Apple Pay et Visa pourraient permettre aux pirates de contourner l’écran de verrouillage Apple Pay d’un iPhone et d’effectuer des paiements sans contact, selon une étude de l’Université de Birmingham et de l’Université de Surrey.

Des experts de l’École d’informatique de l’Université de Birmingham et du Département d’informatique de l’Université de Surrey ont découvert que leur approche pouvait également être utilisée pour contourner la limite sans contact permettant d’effectuer des transactions de tout montant. Leurs résultats seront présentés dans un article à la Symposium IEEE 2022 sur la sécurité et la confidentialité.

Les chercheurs ont découvert que la vulnérabilité se produit lorsque les cartes Visa sont configurées en «mode de transit express» dans le portefeuille d’un iPhone. Le mode de transit est une fonctionnalité sur de nombreux smartphones qui permet aux navetteurs d’effectuer un paiement mobile sans contact rapide, par exemple, à un tourniquet de station de métro, sans authentification par empreinte digitale.

La faiblesse réside dans le fait que les systèmes Apple Pay et Visa fonctionnent ensemble et n’affecte pas les autres combinaisons, telles que Mastercard dans les iPhones ou Visa sur Samsung Pay.

À l’aide d’un simple équipement radio, l’équipe a identifié un code unique diffusé par les portes de transit, ou tourniquets. Ce code, que les chercheurs ont surnommé les « octets magiques », débloquera Apple Pay. L’équipe a découvert qu’elle était alors capable d’utiliser ce code pour interférer avec les signaux entre l’iPhone et un lecteur de carte de magasin. En diffusant les octets magiques et en modifiant d’autres champs du protocole, ils ont pu faire croire à l’iPhone qu’il parlait à une porte de transit, alors qu’en réalité, il parlait à un lecteur de magasin.

Dans le même temps, la méthode des chercheurs persuade le lecteur de la boutique que l’iPhone a terminé avec succès son autorisation d’utilisation, de sorte que les paiements de n’importe quel montant peuvent être prélevés à l’insu de l’utilisateur de l’iPhone.

Le Dr Andreea Radu, de la School of Computer Science de l’Université de Birmingham, a dirigé la recherche. Elle a déclaré: « Notre travail montre un exemple clair d’une fonctionnalité, destinée à faciliter progressivement la vie, se retournant et ayant un impact négatif sur la sécurité, avec des conséquences financières potentiellement graves pour les utilisateurs.

« Nos discussions avec Apple et Visa ont révélé que lorsque deux parties de l’industrie ont chacune une responsabilité partielle, aucune n’est disposée à accepter la responsabilité et à mettre en œuvre un correctif, laissant les utilisateurs vulnérables indéfiniment. »

La co-auteure, le Dr Ioana Boureanu, du Center for Cyber ​​Security de l’Université de Surrey, a ajouté : « Nous montrons comment une fonctionnalité de convivialité dans les paiements mobiles sans contact peut réduire la sécurité. Mais nous avons également découvert des conceptions de paiement mobile sans contact, telles que Samsung Pay , qui est à la fois utilisable et sécurisé. Les utilisateurs d’Apple Pay ne devraient pas avoir à sacrifier la sécurité à la convivialité, mais – pour le moment – certains d’entre eux le font. « 

Le co-auteur, le Dr Tom Chothia, également de la School of Computer Science de l’Université de Birmingham, a déclaré : « Les propriétaires d’iPhone doivent vérifier s’ils ont une carte Visa configurée pour les paiements de transit, et si c’est le cas, ils doivent la désactiver. les utilisateurs d’Apple Pay n’ont pas besoin d’être en danger, mais jusqu’à ce qu’Apple ou Visa résolve ce problème, ils le sont. »

Plus de détails sur un paiement de 1 000 £ prélevé sur un iPhone verrouillé sont disponibles sur Practical_emv.gitlab.io