Se pueden realizar grandes pagos sin contacto no autorizados en iPhones bloqueados aprovechando cómo funciona con Visa una función de Apple Pay diseñada para ayudar a los viajeros a pagar rápidamente en las barreras de entrada.

En un video, los investigadores mostraron que hicieron un pago Visa sin contacto de £ 1,000 desde un iPhone bloqueado.

Apple dijo que el caso era «un problema con un sistema Visa».

Visa dijo que los pagos eran seguros y que este tipo de ataques fuera de un laboratorio no eran prácticos.

El problema, según los investigadores, se aplica a las tarjetas Visa configuradas en modo «Express Transit» en la billetera de un iPhone.

«Express Transit» es una función de Apple Pay que permite a los viajeros realizar pagos rápidos sin contacto sin desbloquear sus teléfonos, por ejemplo, subiendo y bajando en una taquilla del metro de Londres.

Es una debilidad en la forma en que los sistemas Visa funcionan con esta característica que los investigadores de los departamentos de Ciencias de la Computación de las Universidades de Birmingham y Surrey descubrieron cómo atacar.

Al demostrar el ataque, los científicos solo tomaron dinero de sus propias cuentas.

En términos muy simples, y con muchos detalles importantes omitidos intencionalmente, el ataque funciona así:

En un video de demostración visto por la BBC, los investigadores pudieron realizar un pago Visa de £ 1,000 sin desbloquear el teléfono o autorizar el pago.

Los investigadores dicen que el teléfono Android y el terminal de pago usados ​​no necesitan estar cerca del iPhone de la víctima.

«Puede ser en otro continente desde el iPhone siempre que haya una conexión a Internet», dijo la Dra. Ioana Boureanu de la Universidad de Surrey.

Hasta ahora, los investigadores solo han demostrado el ataque en el «laboratorio», y no hay evidencia de que los delincuentes se estén aprovechando del ataque.

Ken Munro, investigador de seguridad de Pen Test Partners, que no participó en la investigación, le dijo a la BBC que se trataba de «una investigación realmente innovadora» y que debía solucionarse rápidamente.

Dijo que es un ataque similar a una terminal de tarjeta de crédito sin contacto que se golpea contra su billetera o bolso.

Pero este ataque fue mucho más insidioso, dijo, ya que la terminal de la tarjeta ya no es necesaria, solo una pequeña caja de dispositivos electrónicos que puede transmitir la transacción fraudulenta a otra parte.

«Quizás la mayor preocupación es un teléfono perdido o robado. El delincuente ya no tiene que preocuparse de que otros lo vean cuando llevan a cabo el ataque».

Los investigadores de la universidad también dijeron que el ataque podría ser más fácil de implementar contra un iPhone robado.

Los investigadores dicen que se acercaron por primera vez a Apple y Visa con sus preocupaciones hace casi un año; ha habido conversaciones «útiles», pero el problema no se ha resuelto.

La opinión de Visa fue que este tipo de ataque era «poco práctico».

Le dijo a la BBC que se tomaba muy en serio todos los riesgos de seguridad, pero que «las tarjetas Visa conectadas a Apple Pay Express Transit son seguras y los titulares de las tarjetas deben seguir utilizándolas con confianza».

«Las variaciones de los esquemas de fraude sin contacto se han estudiado en entornos de laboratorio durante más de una década y han demostrado ser poco prácticas de implementar a gran escala en el mundo real».

Por ejemplo, los sistemas de detección de fraude de Visa pueden detectar y bloquear patrones de gasto inusuales, aunque los investigadores no encontraron este problema en sus pruebas de laboratorio.

También existe el problema práctico de acercarse al teléfono de una víctima.

Cualquiera que crea que ha perdido su teléfono puede usar iCloud de Apple para bloquear Apple Pay o borrar el teléfono, y también puede alertar a Visa y bloquear pagos.

Apple le dijo a la BBC: «Nos tomamos muy en serio cualquier amenaza a la seguridad del usuario. Esta es una preocupación con el sistema Visa, pero Visa no cree que este tipo de fraude ocurra en el mundo real dadas las múltiples capas de seguridad». .

«En el improbable caso de que ocurra un pago no autorizado, Visa ha dejado en claro que los titulares de sus tarjetas están protegidos por la política de responsabilidad cero de Visa».

Pero el dr. Andreea Radu, de la Universidad de Birmingham que dirigió el estudio, le dijo a la BBC que los ataques complejos que funcionan en el laboratorio podrían eventualmente ser utilizados por delincuentes.

«Tiene cierta complejidad técnica, pero creo que las recompensas de realizar el ataque son bastante altas», dijo, y agregó que si no se aborda, «esto podría convertirse en un problema real en unos pocos años».

Dr. Tom Chothia, también de la Universidad de Birmingham, dijo que los propietarios de iPhone deben verificar si tienen una tarjeta Visa configurada para pagos en tránsito y, si la tienen, desactivarla.

«No hay necesidad de poner en riesgo a los usuarios de Apple Pay, pero hasta que Apple o Visa solucionen esto, lo están», dijo.

Los investigadores también probaron Samsung Pay, pero encontraron que no se podía abusar de él de esta manera.

También probaron Mastercard, pero descubrieron que la forma en que funciona la seguridad evitó el ataque.

La coautora, la Dra. Ioana Boureanu, de la Universidad de Surrey, dijo que esto demuestra que los sistemas pueden ser «utilizables además de seguros».

La investigación se presentará en el Simposio IEEE sobre Seguridad y Privacidad en 2022.