Apple Pay può essere hackerato?

apple-pay-hackerato
Condividi:

Ricercatori di sicurezza informatica hanno rivelato una vulnerabilità senza patch in Apple Pay che gli aggressori potrebbero sfruttare per effettuare un pagamento Visa non autorizzato, utilizzando un iPhone bloccato attraverso la modalità Express Travel impostata nel portafoglio del dispositivo.

Un utente malintenzionato ha solo bisogno di un iPhone rubato (che sia acceso). Anzi, non è necessario sia stato sottratto: le transazioni potrebbero anche essere trasmesse da un iPhone all’interno della borsa di qualcuno, a sua insaputa“, ha affermato un gruppo di accademici dell’Università di Birmingham e dell’Università del Surrey. “L’attaccante non ha bisogno di avere un’autorizzazione (inconsapevole) alla transazione da parte del commerciante, i controlli di rilevamento delle frodi di backend non hanno bloccato nessuno dei nostri pagamenti di prova“.

Cos’è Express Travel

Express Travel è una funzionalità che consente agli utenti di iPhone e Apple Watch di effettuare pagamenti contactless rapidi per il trasporto pubblico senza dover riattivare o sbloccare il dispositivo, aprire un’app o convalidare con Face ID, Touch ID o un passcode.

Come nasce l’attacco

Il bypass della schermata di blocco per effettuare un pagamento illecito è reso possibile da una combinazione di vulnerabilità nei sistemi Apple Pay e Visa: non riguarda, invece Mastercard su Apple Pay o carte Visa su Samsung Pay.

Il modus operandi si basa sulla replica di una transazione utilizzando un dispositivo che funge da lettore di carte di credito, il quale comunica con l’iPhone di una vittima e un’app Android abilitata all’NFC (comunicazione di prossimità), fungendo da emulatore di carte per trasmettere segnali a un terminale di pagamento.

Il dispositivo Apple viene ingannato e autorizza una transazione fraudolenta quando, in realtà, è stata attivata tramite un terminale di pagamento contactless controllato da un hacker.

Allo stesso tempo, il lettore di carte è anche indotto a credere che l’autenticazione dell’utente sul dispositivo sia stata eseguita, consentendo così di effettuare pagamenti di qualsiasi importo all’insaputa dell’utente iPhone.

La reazione di Apple e Visa

Apple e Visa sono state avvisate della vulnerabilità rispettivamente nell’ottobre 2020 e nel maggio 2021: “entrambe le parti riconoscono la gravità della vulnerabilità, ma non hanno raggiunto un accordo su quale parte dovrebbe implementare una correzione“.

In una dichiarazione condivisa alla BBC, Visa ha affermato che questo tipo di attacco è “poco pratico”, aggiungendo: “Varianti di frodi con il contactless sono state studiate in ambienti di laboratorio per più di un decennio e si sono dimostrate poco pratiche da eseguire su larga scala nel mondo reale”.

E’ una preoccupazione per i sistema Visa, ma la stessa Visa non crede che questo tipo di frode possa aver luogo nel mondo reale, dati i molteplici livelli di sicurezza in atto“, ha detto un portavoce di Apple all’emittente nazionale britannica.

Ti è piaciuto questo articolo? Se sei interessato a una consulenza in materia di cyber security per la tua azienda, contattaci:

    Il tuo nome*

    La tua email*

    Il tuo telefono*

    La tua città

    Il tuo messaggio

    * campo obbligatorio

    Condividi:

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.