Apple Pay: bug consente pagamenti con iPhone bloccato

Apple Pay: bug consente pagamenti con iPhone bloccato

Una vulnerabilità permette di forzare pagamenti contactless di qualsiasi importo con una carta Visa in Apple Pay, senza sbloccare lo smartphone.
Una vulnerabilità permette di forzare pagamenti contactless di qualsiasi importo con una carta Visa in Apple Pay, senza sbloccare lo smartphone.

I ricercatori della University of Birmingham e della University of Surrey hanno scoperto una vulnerabilità in Apple Pay che permette di effettuare pagamenti con importo illimitato, se l'utente ha impostato la modalità Express Transit per la carta Visa. Apple afferma che il problema riguarda Visa. Visa ritiene che questo tipo di attacco è impraticabile.

Apple Pay e carta Visa: coppia pericolosa

I pagamenti contactless con standard EMV (Europay, Mastercard e Visa) sono sempre più utilizzati, in quanto non è richiesto l'inserimento del PIN entro un certo importo (25 o 50 euro in Italia). I pagamenti effettuati tramite app per smartphone richiedono solitamente una conferma tramite PIN, Touch ID o Face ID nel caso di iOS. Apple Pay offre tuttavia la modalità Express Transit (Carta rapida trasporti in italiano) che consente di usare il servizio sui mezzi di trasporto, senza sbloccare l'iPhone.

È sufficiente avvicinare lo smartphone al lettore contactless per effettuare il pagamento (la modalità è ad esempio supportata da Transport for London). I ricercatori delle due università hanno dimostrato che la vulnerabilità può essere sfruttata per forzare il pagamento con ogni lettore, non solo quelli usati dalle aziende di trasporto. Inoltre è possibile aggirare il limite della singola transazione contactless per effettuare pagamenti di qualsiasi importo.

Per dimostrare l'esistenza del problema, i ricercatori hanno realizzato un sistema che permette di ingannare l'iPhone, facendogli credere di dialogare con il lettore all'ingresso della metropolitana, invece che con il lettore di un negozio o uno controllato da malintenzionati. Lo smartphone crede inoltre che l'utente ha concesso l'autorizzazione tramite PIN, Touch ID o Face ID, consentendo pagamenti di qualsiasi importo.

I dettagli della vulnerabilità sono stati inviati sia ad Apple che a Visa, ma al momento non è stato rilasciato nessun fix. Apple ha dichiarato che il problema riguarda Visa, ma Visa afferma che questo tipo di attacco può essere eseguito solo in laboratorio. I ricercatori hanno verificato che la vulnerabilità non è presente quando viene usata una carta Mastercard in Apple Pay o una carta Visa in Samsung Pay. Il consiglio è non usare la modalità Express Transit per una carta Visa in Apple Pay.

Aggiornamento (01/10/2021, 16.35): riceviamo in redazione e pubblichiamo la dichiarazione di Visa in merito.

Le carte Visa collegate a Apple Pay Express Transit sono sicure e i titolari possono continuare a utilizzarle senza timore. Varianti di frode contactless sono state studiate in ambienti di laboratorio per più di un decennio e si sono dimostrate impraticabili su scala nel mondo reale. Visa considera con la massima serietà tutte le minacce alla sicurezza ed è impegnata costantemente per rafforzare l’affidabilità dei pagamenti in tutto l'ecosistema.

Link copiato negli appunti

Ti potrebbe interessare

30 09 2021
Link copiato negli appunti