I ricercatori di sicurezza hanno scoperto un grave difetto in Transito espresso su iPhone che consente agli hacker di rubare denaro dalla carta Visa di un utente. Dicono che il problema possa essere facilmente risolto, ma né Apple né Visa sembrano interessate.
La falla rende possibile il sistema di pagamento contactless di iPhone, progettato per rendere più facile e veloce la pagare per il trasporto pubblico, addebitare transazioni arbitrarie da un dispositivo che imita un trasporto terminale.
Express Transit su iPhone ha un grosso difetto
Express Transit su iPhone e Apple Watch non richiede autenticazione, a differenza dell'utilizzo di Apple Pay in un negozio o online. Elimina questo processo per accelerare il processo di pagamento in modo che gli utenti non siano trattenuti quando prendono treni, autobus e altri servizi.
Inoltre, Apple Pay non ha limiti di pagamento, a differenza delle carte di credito e di debito contactless. Quindi, semplicemente utilizzando un dispositivo che imita un terminale di trasporto pubblico, gli hacker possono caricare un iPhone quanto vogliono con un semplice tocco.
I ricercatori delle Università di Surry e Birmingham sono stati in grado di sfruttare questo difetto per addebitare un pagamento di £ 1.000 (circa £ 1.000). $ 1,345) su un iPhone, nonostante fosse bloccato in quel momento. Ma funziona solo con carte Visa.
Coloro che utilizzano una carta MasterCard o American Express, che utilizzano un processo di autenticazione aggiuntivo, con Express Transit sono considerati sicuri.
Il trasporto espresso deve essere abilitato
Le transazioni Express Transit non possono essere eseguite in remoto: un utente malintenzionato deve essere vicino al tuo dispositivo per sfruttare questo difetto. Ma è possibile che un terminale di pagamento non autorizzato possa essere nascosto all'interno di una borsa e poi sfiorato con l'iPhone di un utente mentre è in tasca.
Express Transit è una funzione opzionale che deve essere abilitata manualmente, quindi il tuo dispositivo è vulnerabile solo se lo hai attivato e collegato a una carta Visa. Ma ciò che è preoccupante è che né Apple né Visa sembrano disposti a trovare una soluzione.
Apple dà la colpa del problema a Visa e ha detto il telegrafo che "Visa non crede che questo tipo di frode possa aver luogo nel mondo reale dato il più livelli di sicurezza in atto”. Ha inoltre sottolineato che gli utenti sono protetti dalla responsabilità zero di Visa politica.
Un portavoce di Visa ha insistito sul fatto che le carte collegate a Express Transit "sono sicure" e che i titolari "dovrebbero continuare a usarle con fiducia". Hanno anche spazzato via i risultati aggiungendo che "variazioni di schemi di frode senza contatto sono state studiate in ambienti di laboratorio per più di un decennio e si sono rivelate poco pratiche da eseguire su larga scala nella realtà mondo."
Questo è diverso
Mentre Apple e Visa sembrano disinvolti, sembra che ci siano validi motivi per preoccuparsi dei proprietari di iPhone. A differenza di altre transazioni Apple Pay, i pagamenti Express Transit non devono essere autorizzati da Face ID, Touch ID o passcode e non c'è limite alla spesa.
Quindi, è perfettamente plausibile che un hacker possa nascondere un terminale di pagamento all'interno di una borsa, quindi tenerlo vicino all'iPhone o all'Apple di una vittima ignara Guarda su un treno o un binario affollato per effettuare un addebito di cui il proprietario dell'iPhone non sa nulla fino a quando non lascia il suo conto in banca o si presenta su un dichiarazione.
L'unico modo per evitare ciò è semplicemente smettere di usare le carte Visa con Express Transit.