Un problema presente sugli iPhone che usano carte VISA, permetterebbe agli hacker di rubare i soldi sulle carte tramite Apple Pay Express Transit dagli iPhone anche se questi sono bloccati
Alcuni ricercatori di sicurezza hanno scoperto una nuova vulnerabilità con le carte Visa che consentirebbe agli hacker di prelevare denaro dagli iPhone quando sono impostate come carta predefinita per il servizio Express Transit in Apple Pay. La funzionalità disponibile per pagare i biglietti al volo conosciuta come Carta rapida trasporti.
La funzione Express Transit su Apple Pay consente transazioni contactless per i trasporti pubblici come la metropolitana e per fortuna non è attiva in molte nazioni del mondo. Poiché i valori delle transazioni sono generalmente piccole e il limite giornaliero delle transazioni è limitato, Express Transit non richiede all’utente di autenticare le transazioni utilizzando il Face ID o Touch ID.
Ciò consente risparmiare tempo e migliora la comodità quando si entra e si esce dai cancelli del treno/metropolitana/bus per non fare file e code per pagare il prezzo del biglietto dei trasporti pubblici. Proprio questa metodologia di pagamenti veloci, permetterebbe agli hacker di rubare soldi anche se l’iPhone è bloccato.
In una dimostrazione della nuova vulnerabilità condivisa dal The Telegraph (link alla fonte in fondo), un hacker potrebbe ingannare questo sistema contactless per eseguire transazioni e rubare denaro da un iPhone bloccato all’insaputa dell’utente sfruttando questa falla.
Tuttavia, affinché questo funzioni, l’hacker dovrebbe essere in possesso fisico o in prossimità del dispositivo della vittima con una carta VISA impostata come predefinita. I ricercatori hanno dimostrato che imitando un segnale di un terminale del trasporto pubblico, l’iPhone della vittima potrebbe essere costretto autorizzare la transazione alll’hacker senza accorgersene.
I ricercatori di sicurezza che hanno dimostrato questa vulnerabilità sono stati anche in grado di aggirare il limite al valore massimo delle transazioni e sono stati in grado di autorizzare un pagamento di 1.000 sterline, il tutto senza richiedere l’autenticazione della vittima.
Non è un baco di Apple Pay ma delle carte VISA
Apple ha notato che la colpa è dei sistemi Visa e non degli iPhone stessi e la società ha aggiunto che qualsiasi pagamento non autorizzato sarà coperto dalla politica di responsabilità zero di Visa. Apple ha tenuto a precisare che il problema non degli iPhone e di Apple Pay ma di VISA.
Le carte Visa collegate ad Apple Pay Express Transit sono sicure e i titolari dovrebbero continuare a usarle con fiducia”, ha affermato un portavoce di Visa. Hanno aggiunto che le variazioni degli schemi di frode senza contatto sono state studiate in ambienti di laboratorio per oltre un decennio e si sono “dimostrate poco pratiche da eseguire su larga scala nel mondo reale. Il portavoce di Visa ha affermato che la scoperta della vulnerabilità non significava che le persone fossero a rischio.
Sebbene Apple stia scaricando la colpa su Visa e Visa ritenga che i clienti siano ancora protetti, l’exploit è specifico per le carte Visa impostate come predefinite per Express Transit su Apple Pay. L’abbinamento di una carta MasterCard o American Express o altro su Express Transit non mette a rischio l’utente.
INDICE DEI CONTENUTI
Lascia un commento