Apple promette elevati livelli di sicurezza e privacy ai suoi utenti. Tuttavia, uno YouTuber ha ora dimostrato una vulnerabilità legata alla funzione tap-to-pay di Apple, che potrebbe consentire a un malintenzionato di prosciugare il conto bancario di un utente iPhone senza mai sbloccare il suo telefono. Questa particolare vulnerabilità, soprannominata “Man in the Middle”, utilizza una serie di dispositivi per ingannare l’NFC di un modello di iPhone facendogli credere di essere collegato a un dispositivo punto vendita (PoS) o a un terminale di transito. Lo YouTuber ha collaborato con due esperti di sicurezza informatica per dimostrare come si può sfruttare il problema, scoperto per la prima volta cinque anni fa.
La modalità di transito rapido di Apple utilizzata per effettuare pagamenti da iPhone bloccato
In un nuovo video sul canale YouTube Veritasium Henry van Dyck dimostra come si possa sfruttare una vulnerabilità scoperta nel 2021 per rubare denaro da un iPhone bloccato. Per dimostrare lo stesso, esegue una transazione da un iPhone bloccato appartenente allo YouTuber tecnologico Marques Brownlee, comunemente noto come MKBHD. All’inizio del video, posiziona il telefono su un dispositivo chiamato “Proxmark”, un lettore NFC di terze parti, collegato a un laptop.
L’iPhone avrebbe scambiato informazioni sulle transazioni con Proxmark quando veniva posizionato su di esso, le quali venivano poi trasmesse al laptop. I dati della transazione vengono quindi modificati sul desktop utilizzando uno script Python. Il laptop trasmette quindi i dati modificati a un altro telefono. Quando questo secondo telefono viene collegato a un dispositivo PoS, il dispositivo e l’iPhone vengono indotti a credere che i due stiano comunicando direttamente tra loro, con conseguente trasferimento di fondi dal telefono con successo.
Lo YouTuber è riuscito a rubare $ 10.000 (circa Rs. 9.33.000) dall’iPhone 17 Pro di Brownlee senza nemmeno toccare il telefono o sbloccarlo. Il canale YouTube ha collaborato con gli esperti di sicurezza informatica e professori universitari, Ioana Boureanu e Tom Chothia, i quali hanno spiegato che ciò è stato possibile a causa di una nota vulnerabilità nell’Express Transit Mode di Apple, che consente agli utenti di effettuare pagamenti presso vari terminali di trasporto situati negli autobus urbani e nelle stazioni della metropolitana senza sbloccare i propri smartphone.
Hanno inoltre avvertito che non esiste alcun limite alla quantità di denaro che può essere rubata dall’account di un utente sfruttando questa vulnerabilità. Spiegano: “Il limite è la quantità di denaro che la persona ha sul suo conto bancario. Entrando nei dettagli, i professori hanno sottolineato che quando un iPhone viene avvicinato a un terminale di transito, scambia un codice con la funzione tap-to-pay di Apple per autenticare la transazione. Quindi, identifica la carta di transito per trasferire con successo i fondi. Tuttavia, questo exploit può essere utilizzato solo con una carta di transito Visa, a causa della verifica utilizzata dalla società di gateway di pagamento.
Tuttavia, il video mostra che è possibile accedere a questo codice e trasmetterlo a un dispositivo di terze parti utilizzando Proxmark o dispositivi simili. Ma l’iPhone si aspetta anche di ricevere in cambio un codice univoco scritto in formato binario. Alla fine del primo messaggio binario, la cifra dovrebbe indicare “1”, che viene utilizzata per l’autenticazione dei dati offline per le transazioni online.
Tuttavia, un tipico dispositivo PoS di solito si ripristina con questo particolare valore impostato su “0”. Pertanto, un malintenzionato può intercettare questo messaggio e modificarne il valore per ingannare l’iPhone facendogli credere che sta comunicando con un terminale di transito autenticato.
Allo stesso modo, questo codice binario può anche essere modificato per indurre l’iPhone a credere che la transazione sia di valore inferiore, eliminando la necessità di autenticarla manualmente tramite la biometria facciale o delle impronte digitali. D’altra parte, il codice viene nuovamente modificato utilizzando uno script Python per ingannare il dispositivo PoS facendogli credere che il cliente abbia fornito l’approvazione biometrica.
Lo YouTuber afferma che Apple ha lasciato i “byte magici” di transito e i flag EMV, che vengono utilizzati tra dispositivi PoS o terminali di transito e un iPhone, non crittografati di proposito. Ha aggiunto che ciò è dovuto al fatto che la funzione tap-to-pay viene utilizzata da diversi tipi di lettori e in più posizioni, rendendola un compito difficile.
Il canale ha anche contattato Apple per un commento, al quale il colosso tecnologico con sede a Cupertino ha risposto: “Si tratta di un problema con il sistema Visa”. Inoltre, la società ha dichiarato al canale YouTube che Visa “non crede” che tale frode possa avvenire “nel mondo reale” e che i suoi clienti sono coperti dalla politica di responsabilità zero di Visa.
