Expertos en ciberseguridad reportan que los actores de amenazas en posesión de dispositivos iPhone bloqueados pueden usar las tarjetas de pago Visa almacenadas en el dispositivo para realizar pagos sin tener que desbloquear el smartphone debido a una serie de fallas en Visa y Apple Pay. La investigación fue elaborada por especialistas de dos universidades británicas en colaboración con el Centro Nacional de Seguridad Cibernética de Reino Unido.
En su reporte, los investigadores explican que se pueden realizar pagos fraudulentos con lectores de tarjetas utilizando cualquier iPhone que tenga una tarjeta Visa configurada en modo “Express Transit”, una función que permite a usuarios de todo el mundo conectar sus teléfonos a un lector para pagar sus tarifas sin desbloquear sus dispositivos, algo pensado para el turismo pero que ya se aplica en otras áreas comerciales.
Los expertos mencionan que las transacciones también podrían realizarse desde un iPhone dentro del bolso de alguien, sin su conocimiento, lo que vuelve este ataque muy preocupante. En un video de demostración, los investigadores lograron autorizar un pago desde un iPhone bloqueado a un lector de tarjetas de crédito.
Lograr el compromiso requiere encadenar un clásico ataque Man-in-The-Middle (MiTM) y un ataque de relay, además de que se necesita que el dispositivo objetivo tenga una tarjeta Visa habilitada en Apple Pay. No obstante, los hackers requieren piezas de hardware convencionales y al alcance de cualquier usuario con el fin de engañar al dispositivo y hacerle creer que está realizando una operación legítima.
“El hardware requerido permite a los hackers crear un lector malicioso y posteriormente interceptar y transmitir las señales de autorización de pago de Apple Pay a través del emulador a los lectores de pago sin contacto. En esta investigación, creamos una aplicación especialmente diseñada instalada en un dispositivo Android”, mencionan los expertos.
Además, los investigadores descubrieron que también podían realizar transacciones por encima del límite sin contacto con solo otro ajuste en las comunicaciones, volviendo mucho más peligroso el ataque.
Si bien la posibilidad de llevar a cabo este ataque existe debido a fallas en Visa y Apple Pay, las compañías no parecen creer que este sea un riesgo considerable, ya que mientras Apple asegura que las fallas de seguridad son responsabilidad de Visa, la operadora de pagos reconoce la falla pero cree que la explotación activa de estas fallas es virtualmente imposible.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.