I pagamenti Contactless sono ormai la normalità, ed in tempo di COVID-19, il loro utilizzo è aumentato a dismisura per limitare al massimo contatti di ogni tipo. Per chi non lo sapesse, inoltre, a partire da Gennaio 2021, la soglia minima per cui verrà richiesta l’immissione del PIN aumenterà da 25 a 50 Euro. Peccato che, in barba alla sicurezza, un gruppo di ricercatori è riuscito a superare il limite imposto per l’immissione del PIN, riuscendo così ad effettuare pagamenti di qualsiasi importo semplicemente sfiorando la carta sul POS.
Per funzionare, l’attacco necessita di due smartphone ed una particolare App sviluppata dai ricercatori (disponibile qui, su GitHub), in grado, da un lato, di leggere la carta VISA e, dall’altra parte, di emulare la carta stessa quando viene avvicinato lo smartphone ad un POS di pagamento.
Il “segreto” sta proprio nell’emulazione della carta: nel momento in cui si avvicina il primo smartphone al POS, viene inviata una richiesta all’app presente sul secondo telefono, modificando però l’importo richiesto dal POS, portandolo alla soglia dei 25 Euro, evitando così la richiesta del PIN. Questo, brevemente il funzionamento di base dell’hack.
Come funziona l’attacco
Secondo il team di ricerca, l’attacco richiede 4 componenti: due smartphone Android, un’app Android speciale sviluppata dal team di ricerca e una carta contactless Visa. Sui due smartphone è installata l’app Android, che funzionerà come emulatore di carte e emulatore POS (Point-Of-Sale). Il telefono che emula un dispositivo POS viene avvicinato alla carta rubata, mentre lo smartphone che funge da emulatore di carta viene utilizzato per pagare i prodotti.
L’intera idea alla base dell’attacco è che l’emulatore POS chiede alla carta di effettuare un pagamento, modifica i dettagli della transazione e quindi invia i dati modificati tramite WiFi al secondo smartphone che effettua un pagamento di grandi dimensioni senza dover fornire un PIN (poiché l’attaccante ha modificato i dati della transazione al di sotto del minimo necessario richiesto per l’inserimento del PIN).
“La nostra app non richiede privilegi di root o hack fantasiosi per Android e l’abbiamo utilizzata con successo su dispositivi Pixel e Huawei”, hanno affermato i ricercatori.
A livello tecnico, i ricercatori hanno affermato che l’attacco è possibile a causa di un difetto di progettazione nello standard EMV e nel protocollo contactless di Visa. Questi problemi consentono a un utente malintenzionato di modificare i dati coinvolti in una transazione contactless, inclusi i campi che controllano i dettagli della transazione (come l’importo, per esempio).
Per chi fosse interessato ad approfondire l’argomento, qui è disponibile il paper completo della ricerca.
