0xNews - 잠긴 아이폰에서 애플페이를 악용하여 비접촉식 결제 가능 확인

버밍엄 대학교와 서리 대학교 공동 연구 그룹에서 발표

공격자가 아이폰의 지갑 기능에 설정된 Exporess Travel 모드를 이용

잠김 아이폰에서 무단 비자 결제를 악용할 수 있는 애플페이 Apple Pay의 패치 되지 않은 취약점 공개

이를 위해 공격자는 도난 당한 아이폰만 있으면 공격 수행 가능

혹은 누군가의 가방에 들어있는 아이폰에서 자신도 모르게 거래 기능 수행 가능

공격자는 판매자의 도움이 필요하지 않으며 백엔드 사기 탐지 검사에서 테스트 지불이 중단되지 않음을 확인

데모 동영상

Exporess Travel 모드는 아이폰이나 애플와치 Apple Watch 사용자가 기기를 깨우거나 잠금 해제, 앱을 열거나 FaceID, TouchID 혹은 암호를 확인하지 않고도 대중 교통에 대해 비접촉식으로 빠르게 결제할 수 있는 기능

EMV 리더에게 불법적으로 지불하기 위해 잠금 화면을 우회하는 것을 포함하는 메시지 가로채기(Man in the Middle) 재생과 릴레이 공격은 애플페이와 비자 시스템의 취약점이 결합되어 가능

예를 들어 애플페이의 마스터카드나 삼성페이의 비자카드에는 영향을 미치지 않음

작동 방식은 피해자의 아이폰과 통신하는 EMV 카드 판독기 역할을 하는 Proxmark 기기와 카드 애뮬레이터로 작동하는 NFC 지원 안드로이드앱을 사용

신호를 결제 단말기에 전달함으로써 환승 게이트 거래를 모방함으로서 작동

특히 애플페이의 잠금을 해제하기 위해 환승 게이트에서 브로드캐스트하는 고유코드(Magic Bytes)를 활용

바이트 시퀸스를 재생하여 애플기기가 속아서 마치 거래가 시작된 것처럼 가짜 거래를 승인하는 시나리오를 만듬

실제로는 공격자의 통제하에 있는 비접촉 결제 단말기를 통해 트리거

동시에 EMV 리더도 기기 내 사용자 인증이 수행된 것으로 믿도록 속여서 아이폰 사용자가 모르게 금액을 지불

애플과 비자는 각각 2020년 10월, 2021년 5월 취약점에 대한 경고를 받음

취약점의 심각성을 인정하지만 양측 모두 수정 사항을 구현하고 패치를 제공했는지에 대해 알려지지 않음

애플은 비자 시스템의 우려사항이지만 비자는 여러 계층의 보안을 고려할 때 이런 종류의 사기가 현실에서 일어날 것이라 생각하지 않는다고 영국 BBC와 인터뷰

비자는 이런 유형의 공격은 비현실적이라며 비접촉 사기 수법의 변형이 10년 이상 연구실 환경에서 연구되었기 때문에 현실에서 일어날 가능성은 매우 낮은 비현실적이라고 영국 BBC 와의 인터뷰에서 답변

애플과 비자의 BBC 인터뷰 사이트 링크

openLab