Una vulnerabilità nei pagamenti contactless che coinvolge iPhone e il circuito Visa è stata dimostrata in modo concreto da ricercatori dell’Università del Surrey e dell’Università di Birmingham. Lo scenario è questo: un iPhone bloccato, appoggiato su un terminale apparentemente normale, e una transazione da circa 9.000 euro che passa senza sblocco, senza Face ID e senza alcuna conferma da parte del proprietario. Non si tratta di teoria pura, ma di una dimostrazione pratica che ha coinvolto anche lo youtuber Marques Brownlee, il cui iPhone è stato usato come “cavia” per il test.
Il fatto che un pagamento di quella portata possa andare a buon fine senza che nessuno tocchi lo schermo del telefono suona inquietante. Ma, come spesso accade con questo tipo di ricerche, il diavolo sta nei dettagli. Le condizioni necessarie perché tutto funzioni sono molto specifiche e difficili da replicare nella vita quotidiana. Questo non rende la scoperta meno rilevante dal punto di vista tecnico, però è giusto capire bene cosa succede prima di farsi prendere dal panico.
Come funziona questo attacco ai pagamenti contactless su iPhone
Tutto parte da una funzione che Apple ha introdotto per rendere più comoda la vita a chi usa i mezzi pubblici: la modalità “Carta rapida trasporti”. Chi la attiva può pagare il biglietto della metro o dell’autobus semplicemente avvicinando iPhone al lettore, senza doverlo sbloccare. È una comodità enorme, ma i ricercatori hanno trovato il modo di sfruttarla in modo improprio.
Attraverso un dispositivo NFC intermedio, configurato per imitare l’identificativo dei terminali di trasporto pubblico, il team di ricerca riesce a far credere a iPhone di trovarsi davanti a un tornello della metropolitana. A quel punto il telefono accetta di inviare i dati di pagamento senza richiedere autenticazione. È una tecnica nota come “man in the middle”: la comunicazione tra iPhone e il terminale reale viene intercettata, modificata su un computer e poi inoltrata. Sia il telefono sia il lettore di carte pensano di parlare direttamente l’uno con l’altro, ma nel mezzo c’è un sistema che altera i dati trasmessi.
Per portare a termine l’operazione, i ricercatori intervengono su tre elementi fondamentali. Prima di tutto, fanno credere a iPhone che la transazione sia di tipo “trasporto”, eliminando così la necessità dello sblocco. Poi modificano un parametro che indica se il pagamento è ad alto o basso valore, in modo che anche una cifra intorno ai 9.000 euro venga trattata come una spesa minima. Infine, alterano la risposta finale per far risultare al terminale che l’utente abbia già verificato e confermato il pagamento.
Una transazione che il sistema considera del tutto legittima
Il risultato finale è che la transazione viene approvata e inoltrata al circuito Visa come perfettamente valida. Dal punto di vista tecnico, nessun campanello d’allarme scatta lungo la catena di pagamento. iPhone è convinto di aver gestito un passaggio in metro, il terminale crede che il proprietario abbia autorizzato tutto con Face ID o con il codice, e Visa processa l’operazione come qualsiasi altra.
Va sottolineato che replicare queste condizioni fuori da un laboratorio richiede attrezzatura dedicata, competenze molto avanzate e una vicinanza fisica prolungata al dispositivo della vittima. La combinazione di tutti questi fattori rende l’attacco, nella pratica, possibile ma poco probabile. I ricercatori delle università coinvolte hanno comunque dimostrato che la catena di fiducia tra iPhone, la modalità Carta rapida trasporti e il circuito Visa presenta punti deboli che, in teoria, possono essere sfruttati per aggirare le protezioni dei pagamenti contactless anche su importi molto elevati.