A research team from the University of Nottingham has uncovered a worrying vulnerability in iPhone contactless payments, demonstrating that under certain circumstances, it is possible to make a card payment without the necessary confirmation from the user.
The Test and the Mechanism of Attack
Στο πλαίσιο του πειράματος, οι ερευνητές χρησιμοποίησαν μια προσαρμοσμένη συσκευή που μιμούνταν τερματικό πληρωμών. Το iPhone τοποθετήθηκε στη συσκευή και, μέσα σε δευτερόλεπτα, πραγματοποιήθηκε χρέωση αρχικά ενός μικρού ποσού και στη συνέχεια, αρκετά μεγαλύτερου, έως και 10.000 δολάρια. Το πιο ανησυχητικό ήταν ότι η επίθεση πραγματοποιήθηκε με την οθόνη παραμένουσα κλειδωμένη, παρακάμπτοντας τις συνήθεις ασφάλειες όπως το Face ID ή το PIN.
The method used by the researchers is based on a technique known as Man-in-the-middle, όπου οι επιτιθέμενοι ενδιάμεσα παρεμβαίνουν στην επικοινωνία μεταξύ του smartphone και του τερματικού, υποκλέπτοντας και τροποποιώντας τα δεδομένα που ανταλλάσσονται σε πραγματικό χρόνο. Έτσι, τόσο το iPhone όσο και το POS νομίζουν ότι επικοινωνούν απευθείας, ενώ στην πραγματικότητα η πληροφορία επεξεργάζεται από τρίτους.
Which Mechanisms Enable the Attack?
To make the attack possible, the researchers exploited the function Express Transit Mode, which allows contactless payments without requiring the phone to be unlocked. Thanks to special signal spoofing, the iPhone is prevented from thinking it is in front of a transit terminal, bypassing the required verification procedures.
After the initial deception, researchers are able to modify the flag that determines whether a transaction is considered low or high value. With changes to a simple flag, even a transfer of several thousand euros can be shown as low value, thus avoiding any necessary confirmation.
HI
One of the main reasons that makes the attack possible is that part of the communication between the iPhone and the terminal is not fully encrypted. This is due to the need for compatibility with international payment systems. For more information about encryption, you can refer to the relevant [IEEE research](https://ieeexplore.ieee.org/document/8365602).
Important Questions and Security Recommendations
Η Apple απέδωσε την ευπάθεια στο σύστημα της Visa, ενώ η Visa έχει δηλώσει ότι τέτοιες περιπτώσεις είναι εξαιρετικά σπάνιες, με πολιτικές επιστροφής χρημάτων για τις περιπτώσεις απάτης. Παρ’ όλα αυτά, η πιθανότητα να αντιμετωπίσει κανείς μια μεγάλη χρέωση χωρίς να έχει προβεί σε κάποια ενέργεια παραμένει ανησυχητική.
Suggestions for Protection
- Turn off Express Transit Mode when you don't need it.
- Check your cards that are set up for contactless payments.
- Monitor your banking transactions regularly.
This case does not necessarily mean that contactless payments are insecure, but it does indicate that even the most sophisticated technologies can face weaknesses, especially when convenience conflicts with security. The crucial question is how acceptable this risk is in a system that processes billions of transactions worldwide every day.
For more information about the security of contactless payments, you can refer to [Kaspersky publication](https://www.kaspersky.com/resource-center/definitions/contactless-payments).
