Onderzoekers kunnen Visa-betalingen doen via Apple Pay zonder te ontgrendelen

Britse onderzoekers hebben een manier gevonden om via Apple Pay te betalen terwijl de telefoon is vergrendeld. Dit is mogelijk met Visa-kaarten als een gebruiker de Express-modus heeft ingeschakeld. De onderzoekers kunnen het signaal omzeilen.

De onderzoekers van de universiteiten van Birmingham en Surrey beschrijven in een paper hoe ze met een iPhone kunnen betalen zonder authenticatie via Face ID of Touch ID. Dit kan alleen als de Apple Wallet in de Express-modus staat . Dat is een modus waarmee gebruikers in sommige gevallen hun telefoon niet hoeven te ontgrendelen om een betaling te doen of een kaart te scannen. De Express-modus werkt voor een aantal kaarten, zoals kaarten voor het openbaar vervoer in de Londense metro. Reizigers hoeven daar hun telefoon niet te ontgrendelen voordat ze door een toegangspoort lopen, omdat die toegangspoort automatisch het type kaart op de telefoon herkent.

In het onderzoek konden de wetenschappers de communicatie tussen de iPhone en een kaartlezer simuleren met een man-in-the-middle-aanval. Dit doen ze door de zogenaamde Magic Bytes-string te onderscheppen en via hun eigen apparaat naar de iPhone van een slachtoffer te sturen. Magic Bytes is wat Apple de communicatiestroom tussen een EMV-kaartlezer en een iPhone noemt. Hierdoor denkt de iPhone dat hij contact maakt met een kaartlezer binnen een geautoriseerde kaartlezer die in het openbaar vervoer wordt gebruikt, maar dat zou ook een kaartlezer van de hackers kunnen zijn.

De onderzoekers konden vervolgens de Card Transaction Qualifiers aanpassen, die bedoeld zijn om een limiet te stellen aan het aantal transacties dat kan worden uitgevoerd, en het bedrag daarvan. In de praktijk wisten de onderzoekers een transactie van duizend pond uit een telefoon te halen. Dat gebeurde op een iPhone 7, maar ook een recentere iPhone 12.

De aanval werkt alleen met Visa-kaarten in de Apple Wallet. Mastercard-kaarten hebben nog een controlemechanisme. Dat voorkomt dat een iPhone dergelijke transacties van een kaartlezer accepteert. Naast een Magic Bytes-string moet een terminal ook een specifieke code sturen die verifieert dat het een geautoriseerd apparaat is, maar dat is niet gebeurd.

Het probleem ligt volgens de onderzoekers bij het gebrek aan verificatie bij Apple in combinatie met het ontbreken van controles bij Visa. Met Samsung Pay wordt bijvoorbeeld een Visa-kaart geverifieerd. De onderzoekers zeggen dat ze hun bevindingen hebben doorgegeven aan zowel Apple als Visa. Beide bedrijven verwijzen echter naar elkaar en hebben de afgelopen maanden geen oplossing voor het probleem geboden.