Los investigadores de seguridad han descubierto una falla importante en Tránsito expreso en iPhone que permite a los piratas informáticos robar dinero de la tarjeta Visa de un usuario. Dicen que el problema se puede solucionar fácilmente, pero ni Apple ni Visa parecen interesados.
La falla hace posible que el sistema de pago sin contacto del iPhone, diseñado para que sea más fácil y rápido Pagar el transporte público, cobrar transacciones arbitrarias mediante un dispositivo que imita un transporte. Terminal.
Express Transit en iPhone tiene un defecto importante
Express Transit en iPhone y Apple Watch no requiere autenticación, a diferencia de usar Apple Pay en una tienda o en línea. Elimina este proceso para acelerar el proceso de pago, de modo que los usuarios no se detengan al tomar trenes, autobuses y otros servicios.
Además, Apple Pay tampoco tiene límite de pago, a diferencia de las tarjetas de crédito y débito sin contacto. Entonces, simplemente usando un dispositivo que imita una terminal de transporte público, los piratas informáticos pueden cargar un iPhone tanto como quieran con solo un toque.
Investigadores de las universidades de Surry y Birmingham pudieron aprovechar esta falla para cobrar un pago de £ 1,000 (aprox. $ 1,345) a un iPhone, a pesar de que estaba bloqueado en ese momento. Pero solo funciona con tarjetas Visa.
Aquellos que utilizan una tarjeta MasterCard o American Express, que emplean un proceso de autenticación adicional, con Express Transit se consideran seguros.
Express Transit debe estar habilitado
Las transacciones de Express Transit no se pueden realizar de forma remota: un atacante debe estar cerca de su dispositivo para aprovechar esta falla. Pero es posible que una terminal de pago deshonesta se esconda dentro de una bolsa y luego se roce contra el iPhone de un usuario mientras está dentro de su bolsillo.
Express Transit es una función opcional que debe habilitarse manualmente, por lo que su dispositivo solo es vulnerable si lo tiene activado y vinculado a una tarjeta Visa. Pero lo preocupante es que ni Apple ni Visa parecen estar dispuestos a encontrar una solución.
Apple culpa del problema a Visa y le dijo El Telégrafo que "Visa no cree que este tipo de fraude pueda ocurrir en el mundo real dado el múltiples capas de seguridad en su lugar ". También señaló que los usuarios están protegidos por la responsabilidad cero de Visa política.
Un portavoz de Visa insistió en que las tarjetas conectadas a Express Transit "son seguras" y que los titulares de tarjetas "deben seguir utilizándolas con confianza". También ignoraron los hallazgos. agregando que “las variaciones de los esquemas de fraude sin contacto se han estudiado en entornos de laboratorio durante más de una década y han demostrado ser imprácticas para ejecutar a escala en la realidad mundo."
Esto es diferente
Si bien Apple y Visa parecen indiferentes, parece que hay razones válidas para que los propietarios de iPhone se preocupen. A diferencia de otras transacciones de Apple Pay, los pagos de Express Transit no necesitan ser autorizados por Face ID, Touch ID o un código de acceso, y no hay límite sobre cuánto se puede gastar.
Por lo tanto, es perfectamente plausible que un pirata informático esconda una terminal de pago dentro de una bolsa y luego la mantenga cerca del iPhone o Apple de una víctima desprevenida. Míralo en un tren o plataforma concurrida para hacer un cargo del que el propietario del iPhone no sabe nada hasta que sale de su cuenta bancaria o aparece en un declaración.
La única forma de evitarlo es simplemente dejar de usar tarjetas Visa con Express Transit.
