Σύνοψη
- Ερευνητές ασφαλείας εντόπισαν κρίσιμη ευπάθεια στο οικοσύστημα του Apple Pay, η οποία επηρεάζει αποκλειστικά τις κάρτες Visa όταν είναι ενεργοποιημένη η λειτουργία Express Transit.
- Το κενό ασφαλείας επιτρέπει σε επιτιθέμενους να πραγματοποιούν ανέπαφες συναλλαγές μεγάλης αξίας χωρίς να απαιτείται ξεκλείδωμα του iPhone μέσω Face ID, Touch ID ή κωδικού (passcode).
- Η επίθεση παρακάμπτει το ευρωπαϊκό όριο των 50€ για ανέπαφες συναλλαγές χωρίς PIN, ξεγελώντας ταυτόχρονα το τερματικό πληρωμής (POS) και την ίδια τη συσκευή της Apple.
- Η ευπάθεια είναι αρχιτεκτονική και εντοπίζεται στον τρόπο με τον οποίο αλληλεπιδρούν τα πρωτόκολλα της Visa με το σύστημα ανέπαφων συναλλαγών της Apple.
- Οι κάτοχοι καρτών Mastercard, American Express και άλλων δικτύων δεν επηρεάζονται από το συγκεκριμένο exploit.
Η ασφάλεια των ψηφιακών πορτοφολιών τίθεται υπό σοβαρή αμφισβήτηση μετά την αποκάλυψη μιας κρίσιμης αρχιτεκτονικής ευπάθειας που αφορά τον συνδυασμό του Apple Pay με το δίκτυο της Visa. Σύμφωνα με τα τεχνικά δεδομένα που ήρθαν στο φως της δημοσιότητας, η συγκεκριμένη αδυναμία επιτρέπει την πραγματοποίηση μη εξουσιοδοτημένων συναλλαγών μεγάλης αξίας από ένα κλειδωμένο iPhone, παρακάμπτοντας πλήρως τα βιομετρικά συστήματα ταυτοποίησης (Face ID/Touch ID) και τα όρια ποσών που ορίζουν οι ευρωπαϊκές τράπεζες.
Το πρόβλημα δεν εντοπίζεται σε έναν επιφανειακό κώδικα, αλλά στον ίδιο τον πυρήνα της επικοινωνίας μεταξύ της λειτουργίας Express Transit (η οποία έχει σχεδιαστεί για γρήγορη διέλευση στα μέσα μαζικής μεταφοράς) και του πρωτοκόλλου EMV που χρησιμοποιεί η Visa για την επαλήθευση των κρυπτογραφικών κλειδιών. Η συγκεκριμένη συνθήκη δημιουργεί ένα επικίνδυνο μείγμα, καθώς οι επιτιθέμενοι χρειάζονται μόνο έναν τυπικό εξοπλισμό ραδιοσυχνοτήτων (RFID) για να πραγματοποιήσουν αυτό που στη γλώσσα της κυβερνοασφάλειας ονομάζεται ενεργή επίθεση αναμετάδοσης (active relay attack).
Πώς λειτουργεί το κενό ασφαλείας του Apple Pay με τις κάρτες Visa;
Το κενό ασφαλείας εκμεταλλεύεται τη λειτουργία Express Transit του Apple Pay. Ένας επιτιθέμενος με κρυφό τερματικό πλησιάζει το κλειδωμένο iPhone του θύματος και εκπέμπει έναν ειδικό κώδικα. Η συσκευή «πιστεύει» ότι βρίσκεται σε τουρνικέ μέσου μαζικής μεταφοράς και ξεκλειδώνει τη Visa. Ταυτόχρονα, το τερματικό τροποποιεί τα δεδομένα της συναλλαγής, ξεγελώντας το POS ώστε να θεωρήσει ότι η συναλλαγή έχει ήδη ταυτοποιηθεί, παρακάμπτοντας το όριο των 50 ευρώ χωρίς απαίτηση PIN.
Η κατανόηση του προβλήματος απαιτεί ενδελεχή ματιά στο πώς τα σύγχρονα smartphones επικοινωνούν με τα τερματικά POS. Η λειτουργία Express Transit δημιουργήθηκε από την Apple για να επιταχύνει τη ροή των επιβατών στα μετρό και τα λεωφορεία. Όταν ο χρήστης ορίζει μια κάρτα πληρωμής ως «Express», επιτρέπει στο iPhone να εξουσιοδοτεί συναλλαγές χαμηλής αξίας στα τουρνικέ χωρίς να απαιτείται οπτική επαφή με την οθόνη ή ξεκλείδωμα της συσκευής.
Η επίθεση βασίζεται στην παρεμβολή μιας «συσκευής-γέφυρας» (Man-in-the-Middle) μεταξύ του iPhone του θύματος και ενός νόμιμου τερματικού πληρωμών. Ο επιτιθέμενος χρησιμοποιεί έναν εξοπλισμό NFC που μπορεί να κρύψει μέσα σε μια τσάντα. Πλησιάζοντας το θύμα –για παράδειγμα, σε έναν γεμάτο συρμό του μετρό– η συσκευή του επιτιθέμενου στέλνει ένα συγκεκριμένο σήμα προς το iPhone. Αυτό το σήμα μιμείται τα κρυπτογραφικά χαρακτηριστικά ενός επίσημου τερματικού ελέγχου εισιτηρίων.
Μόλις το iPhone λάβει το σήμα, ενεργοποιεί την κάρτα Visa μέσω του Express Transit. Εδώ ξεκινά το πιο περίπλοκο κομμάτι του exploit: Η συσκευή του επιτιθέμενου δεν ολοκληρώνει τη συναλλαγή τοπικά, αλλά αναμεταδίδει άμεσα τα διαπιστευτήρια σε ένα πραγματικό, απομακρυσμένο τερματικό POS (το οποίο ελέγχεται από τον ίδιο ή από συνεργούς). Κατά τη διάρκεια της αναμετάδοσης, ο κακόβουλος κώδικας εγχέει μια σειρά από “magic bytes” (συγκεκριμένες δεκαεξαδικές ακολουθίες) στα δεδομένα του πρωτοκόλλου EMV.
Αυτά τα δεδομένα τροποποιούν τις ενδείξεις Card Transaction Qualifiers (CTQ). Πρακτικά, το λογισμικό πείθει το τερματικό της τράπεζας ότι το iPhone έχει ήδη ταυτοποιήσει τον χρήστη μέσω δακτυλικού αποτυπώματος ή αναγνώρισης προσώπου (CDCVM – Consumer Device Cardholder Verification Method). Ως αποτέλεσμα, η τράπεζα αποδέχεται συναλλαγές εκατοντάδων ή χιλιάδων ευρώ, παρά το γεγονός ότι η αρχική αλληλεπίδραση αφορούσε ένα υποτιθέμενο εισιτήριο λεωφορείου αξίας ενός ευρώ. Το δίκτυο της Mastercard απορρίπτει αυτού του είδους τις τροποποιήσεις στα πακέτα δεδομένων, καθιστώντας τις κάρτες της άτρωτες στη συγκεκριμένη επίθεση.
Τι ισχύει για την Ελλάδα
Για το ελληνικό κοινό, η συγκεκριμένη ευπάθεια απαιτεί ιδιαίτερη προσοχή, παρότι τα συστήματα συγκοινωνιών όπως ο ΟΑΣΑ και ο ΟΑΣΘ βρίσκονται σε φάση ευρύτερης ενσωμάτωσης των ανέπαφων πληρωμών (tap-and-pay) κατευθείαν στα ακυρωτικά μηχανήματα. Στην Ελλάδα, το όριο ανέπαφων συναλλαγών χωρίς την απαίτηση PIN (Floor Limit) έχει καθοριστεί από τις συστημικές τράπεζες στα 50 ευρώ. Το Apple Pay, ωστόσο, από τη φύση του επιτρέπει συναλλαγές άνω των 50 ευρώ χωρίς PIN στο φυσικό POS, εφόσον η ταυτοποίηση γίνεται βιομετρικά στη συσκευή.
Το επικίνδυνο της υπόθεσης για τους Έλληνες χρήστες είναι ότι οι επιτήδειοι μπορούν να κυκλοφορούν σε χώρους υψηλής συγκέντρωσης πλήθους (π.χ. Σύνταγμα, μετρό Αθήνας, εμπορικά κέντρα) μεταφέροντας τον εξοπλισμό αναμετάδοσης σε σακίδια. Αν ένας χρήστης ελληνικής τράπεζας έχει συνδέσει τη χρεωστική ή πιστωτική του Visa στο Apple Pay και την έχει ορίσει ως Express Transit κάρτα, κινδυνεύει να δει το υπόλοιπό του να μειώνεται δραματικά χωρίς καμία ειδοποίηση μέχρι να είναι πλέον αργά. Η ευθύνη στην παρούσα φάση μοιάζει να μετατοπίζεται: Η Apple υποστηρίζει ότι το ζήτημα αφορά τα πρωτόκολλα ελέγχου της Visa, ενώ η Visa θεωρεί ότι το οικοσύστημα της Apple πρέπει να αποτρέπει τέτοιου είδους αναμεταδόσεις. Μέχρι να υπάρξει επίσημο patch σε επίπεδο δικτύου ή λογισμικού, η απενεργοποίηση της λειτουργίας Express Transit παραμένει η μοναδική αποτελεσματική άμυνα.
Με τη ματιά του Techgear
Η συγκεκριμένη αποκάλυψη δεν καταδεικνύει απλώς ένα απομονωμένο σφάλμα, αλλά ένα συστημικό πρόβλημα διαλειτουργικότητας μεταξύ τεράστιων τεχνολογικών οργανισμών. Η πολυπλοκότητα των σημερινών ψηφιακών οικοσυστημάτων οδηγεί συχνά σε τέτοιου είδους “τυφλά σημεία”. Η προσπάθεια για απόλυτη άνεση (όπως το να περνάς τα τουρνικέ του μετρό απλώς πλησιάζοντας το κινητό στην τσέπη σου) αναπόφευκτα θυσιάζει δικλείδες ασφαλείας.
Από την πλευρά του χρήστη, η ανακάλυψη υπενθυμίζει ότι η τεχνολογία NFC δεν είναι μαγική και υπόκειται στους νόμους της φυσικής και της ασύρματης δικτύωσης. Αν και οι πραγματικές πιθανότητες να πέσετε θύμα μιας τέτοιας, άκρως στοχευμένης και εξειδικευμένης επίθεσης στους δρόμους της Αθήνας είναι στατιστικά μικρές, η σοβαρότητα του κενού ασφαλείας δεν επιτρέπει εφησυχασμό.
Η άμεση σύσταση είναι σαφής: Εάν διαθέτετε κάρτα Visa στο Apple Wallet, μεταβείτε στις ρυθμίσεις του «Πορτοφολιού» και βεβαιωθείτε ότι καμία κάρτα δεν έχει οριστεί ως “Κάρτα Express”. Η ελάχιστη καθυστέρηση του να πατήσετε δύο φορές το πλαϊνό πλήκτρο για το Face ID είναι ένα πολύ μικρό τίμημα μπροστά στην προστασία των τραπεζικών σας λογαριασμών.
