Carte VISA, una falla milionaria

Ricercatori britannici identificano una pericolosa vulnerabilità nelle carte di credito VISA per i pagamenti contactless, una falla che potrebbe essere sfruttata per carpire all'utente una cifra cospicua

Roma – I ricercatori della Newcastle University hanno scoperto un baco potenzialmente molto pericoloso nelle carte di credito VISA per pagamenti “contactless”, un bug che per di più non dovrebbe essere particolarmente difficile da sfruttare. VISA respinge al mittente le accuse e parla di misure di sicurezza sufficienti.

La falla risiede nelle carte VISA payWave pensate per i pagamenti a distanza – senza l’obbligo di passare la carta nel lettore di un POS – tramite comunicazioni NFC, carte dotate di chip RFID in grado di limitare l’importo massimo che è possibile versare senza che l’utente verifichi la propria identità tramite PIN o firma.

Ma tale importo massimo (20 sterline in UK, 15 euro in Irlanda e 25 euro in Germania) non viene verificato , nelle transazioni in UK nel caso in cui il pagamento avvenga in valuta straniera: i ricercatori hanno realizzato un lettore portatile in grado di eseguire transazioni per un massimo di 1 milione di dollari (o di euro) senza destare allarmi o sospetti nel proprietario della carta payWave.

I controlli di sicurezza sugli importi massimi spendibili contactless avviene in locale all’interno del chip RFID della carta, spiegano dalla Newcastle University, e in teoria un malintenzionato potrebbe limitarsi a “strisciare” un lettore (magari sotto forma di smartphone NFC) sul portafoglio in cui è presente la carta per aprire una voragine milionaria nei conti della vittima indifesa.

La risposta di VISA alla ricerca non si è fatta attendere: interpellato dalla BBC, il colosso dei pagamenti sostiene che i ricercatori non hanno tenuto in debita considerazione “i tanti meccanismi di sicurezza” implementati a difesa dei pagamenti contactless , e che il tipo di transazione malevola ipotizzato sarebbe molto difficile da completare al di fuori di un laboratorio di ricerca.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Rabarbaro Barbaro Zucca scrive:
    Ma non era sicuro?
    Uouououo... calma, calma! :|Ma non s'era detto che il Mac era sicuro? :@Ma non s'era detto che alla Apple ci tengono alla sicurezza e tranquillità degli utenti? O)E allora come mai è stato MITRAGLIATO? (rotfl)Accidenti, è davvero strano! :-o
  • Passavo scrive:
    però!
    http://www.corriere.it/tecnologia/app-software/14_novembre_06/wirelurker-virus-iphone-4b9b4ee0-65c1-11e4-b6fa-49c6569d98de.shtml
  • collione scrive:
    mii che giornata
    http://jan.moesen.nu/2014/11/06/apple-crawler.txthahahahahahama come? non l'hanno scritto in swift? hanno usato google go?massiminoooooooo corri, me sento male (rotfl)
    • bubba scrive:
      Re: mii che giornata
      - Scritto da: collione
      http://jan.moesen.nu/2014/11/06/apple-crawler.txt

      hahahahahaha

      ma come? non l'hanno scritto in swift? hanno
      usato google
      go?

      massiminoooooooo corri, me sento male (rotfl)ehehe buffo :) cmq uaz.. ho clickato sul sito di Go ... e mi vedo 'rob pike'.. "QUEL rob pike??" -mi dico-.... si e' proprio lui. Altro che il calligrafo (buonanima) di cupertino...
      • collione scrive:
        Re: mii che giornata
        - Scritto da: bubba
        ehehe buffo :) cmq uaz.. ho clickato sul sito
        di Go ... e mi vedo 'rob pike'.. "QUEL rob
        pike??" -mi dico-.... si e' proprio lui. Altro
        che il calligrafo (buonanima) di
        cupertino...e dovresti provare il linguaggio non dico che mi ha convinto ad abbandonare totalmente python, ma un buon 40% di attività che prima svolgevo con python, adesso le svolgo con goe da fesso non avete invece mai dato credito a dart, cosa che ho fatto 3 giorni fa e....magari non eliminerà javascript nel breve periodo, ma sicuramente farà la pelle a nodejs
    • Pauli scrive:
      Re: mii che giornata
      Lungi da medifendere AppleNon mi sono inltre mai addetrato in queste lotte da fan boy pro o contro pechè sono patetiche come patetici sono coloro che ne scrivono.Detto ciò mi mette sempre una tristezza enorme vedere come le persone che scrivono qui e quindi si "autoconsiderino" esperti IT non sappiano ancora applicare valutazioi sui "virus" (parola già ridicola poichè applicata ad ogni cosa ormai)Uno si installa un cracco sul mac, lo fa fornendo le credenziali di amministrazione, jailbrekka il telefono, lo collega al mac che si è autoaperto e si grida allo scandalo perchè c'è "un virus" che attacca il telefono?Ma fate un po pace del cervello va invece di continuare a litigare su android, apple, windows, linux e chi più ne ha più ne mettaPrima di permettervi di criticare cose che neppure capite provate a combinare qualcosa di serio nella vita perchè da ciò che scrivete (le stesse cose che potrebbe scrivere mia nonna o che scrive appunto corriere che è pesino peggio di mia nonna) non avete mai fatto una beata cippa- Scritto da: collione
      http://jan.moesen.nu/2014/11/06/apple-crawler.txt

      hahahahahaha

      ma come? non l'hanno scritto in swift? hanno
      usato google
      go?

      massiminoooooooo corri, me sento male (rotfl)
      • piaccapi scrive:
        Re: mii che giornata
        - Scritto da: Pauli
        Lungi da medifendere Apple
        Non mi sono inltre mai addetrato in queste lotte
        da fan boy pro o controL'hai appena fatto. Sarai tanto superiore, ma ora sei esattamente come noi.
        pechè sono patetiche come
        patetici sono coloro che ne
        scrivono.CVD. Vedi sopra.

        Detto ciò mi mette sempre una tristezza enorme
        vedere come le persone che scrivono qui e quindi
        si "autoconsiderino" esperti ITsei in buona compagnia. Siamo tristi anche noi per te
        non sappiano
        ancora applicare valutazioi sui "virus" (parola
        già ridicola poichè applicata ad ogni cosa
        ormai)Tipo?

        Uno si installa un cracco sul mac, lo fa fornendo
        le credenziali di amministrazione, jailbrekka il
        telefono, lo collega al mac che si è autoaperto e
        si grida allo scandalo perchè c'è "un virus" che
        attacca il
        telefono?Eh sì. Dissertazione molto tecnica. La differenza si vede tutta (rotfl)

        Ma fate un po pace del cervello va invece di
        continuare a litigare su android, apple, windows,
        linux e chi più ne ha più ne
        mettaMa sai... è un forum. Si discute, si passa il tempo, si trolleggia. Esattamente come fai tu (troll)
        Prima di permettervi di criticare cose che
        neppure capite provate a combinare qualcosa di
        serio nella vita perchè da ciò che scrivete (le
        stesse cose che potrebbe scrivere mia nonna o che
        scrive appunto corriere che è pesino peggio di
        mia nonna) non avete mai fatto una beata
        cippaE detto da te, che sembri avere seri problemi nella comprensione della grammatica di base, prima che di tutto il resto, suona un po' strano :D

        - Scritto da: collione


        http://jan.moesen.nu/2014/11/06/apple-crawler.txt



        hahahahahaha



        ma come? non l'hanno scritto in swift? hanno

        usato google

        go?



        massiminoooooooo corri, me sento male (rotfl)
  • Luppolo scrive:
    Kvarnhammar ...
    Dopo anni di lavoro deve aver scoperto questo ...http://en.m.wikipedia.org/wiki/Setuid
  • bubba scrive:
    peccato veniale un accidente
    "peccato veniale" un accidente.... e' una politica precisa, attuata in modo +- trasversale, da tutti i dragadati ( M$, apple, google ecc). Solo la roba open (gnu-linux/bsd ) si salva (anche se l'inquinamento si inizia a vedere anche li'... )
    • collione scrive:
      Re: peccato veniale un accidente
      - Scritto da: bubba
      (anche se l'inquinamento si inizia a vedere anche
      li'...systemd? (newbie)
      • bubba scrive:
        Re: peccato veniale un accidente
        - Scritto da: collione
        - Scritto da: bubba


        (anche se l'inquinamento si inizia a vedere
        anche

        li'...

        systemd? (newbie)gh. quella e' una storia diversa (windozification. certo la colpa e' anche di canonical... ma rhat/freedesktop sono peggio).Mi riferivo a cose come Amazon Lens nell'unity di ubuntu ... o perfino -certo presenti per motivi piu' nobili- i vari phone-home di firefox verso google & altro...
  • diana scrive:
    hippie yeah
    il melabrodo colpisce ancora http://www.bbc.com/news/technology-29928751hippie yeah
    • maxsix scrive:
      Re: hippie yeah
      - Scritto da: diana
      il melabrodo colpisce ancora
      http://www.bbc.com/news/technology-29928751

      hippie yeahDo not download Mac apps from third-party storesImpossible senza XXXXXXXXX (che chi fa, si spera, sa a quali rischi si espone).Do not connect their iOS devices to untrusted computers and acXXXXXries, either to copy information or charge the machinesImpossible da fare senza un installazione di itunes e la validazione dell'account.Solo tramite XXXXXXXXX è possible fare ste cose o tecniche di trasporto delle chiavi tra computer (che comunque, mi sembra, con l'ultima versione di itunes sia stata eliminata).Do not accept requests for a new "enterprise provisioning profile" - used to allow businesses to install their own software onto employees' smartphones - unless it comes from an authorised party, for example the employer's IT departmentUn dipendente con una periferica iOS con account enterprise è impossibilitato a installare niente che non provenga dal circuito enterprise a cui l'account è legato nor ad Apple store (e anche qui il circuito enterprise potrebbe negare l'acXXXXX ad app store stesso).A meno che non venga fatto il XXXXXXXXX della periferica.Quindi, siamo alle solite eh.-----------------------------------------------------------Modificato dall' autore il 06 novembre 2014 12.24-----------------------------------------------------------
      • collione scrive:
        Re: hippie yeah
        - Scritto da: maxsix
        Do not download Mac apps from third-party storesche è quello che accade nel 90% dei casi d'infezione su Androidma valgono due pesi e due misure ovviamente
        A meno che non venga fatto il XXXXXXXXX della
        periferica.nei tuoi sogni forse "even non-jailbroken iOS devices"http://www.net-security.org/malware_news.php?id=2908&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+HelpNetSecurity+%28Help+Net+Security%29macaco pwned (rotfl)
        • maxsix scrive:
          Re: hippie yeah
          - Scritto da: collione
          - Scritto da: maxsix


          Do not download Mac apps from third-party stores

          che è quello che accade nel 90% dei casi
          d'infezione su
          Android

          ma valgono due pesi e due misure ovviamente


          A meno che non venga fatto il XXXXXXXXX della

          periferica.

          nei tuoi sogni forse "even non-jailbroken iOS
          devices"

          http://www.net-security.org/malware_news.php?id=29
          Tu gli articoli li DEVI leggere prima di parlare con me, altrimenti fai solo che figuracce.E ti metto in bold le cose che dovresti aver letto prima di scrivere scemenze.Cito:The first instance of the malware - dubbed WireLurker by the researchers - was spotted by a developer at Chinese company Tencent on June 1. In the days that followed, other users have taken to online forums to share their discovery of "the installation of strange applications and the creation of enterprise provisioning profiles on their non-jailbroken iPhones and iPads .""They also mentioned launch daemons found on their Mac computers, with names like 'machook_damon' and 'WatchProc'. Some of these same users stated that they recently downloaded and installed applications from the Maiyadi App Store, a third party OS X and iOS application store in China," the researchers noted. Their investigation later revealed that almost all Mac apps uploaded to that particular online store from April 30, 2014, to June 11, 2014, were repackaged with WireLurker. 467 apps were trojanized, and were downloaded a total of 356,104 times.
          macaco pwned (rotfl)Cocco, ne hai da imparare dai macachi.Ma tanta anche.
          • 2014 scrive:
            Re: hippie yeah
            - Scritto da: maxsix
            - Scritto da: collione

            - Scritto da: maxsix




            Do not download Mac apps from third-party
            stores



            che è quello che accade nel 90% dei casi

            d'infezione su

            Android



            ma valgono due pesi e due misure ovviamente




            A meno che non venga fatto il XXXXXXXXX della


            periferica.



            nei tuoi sogni forse "even non-jailbroken iOS

            devices"




            http://www.net-security.org/malware_news.php?id=29


            Tu gli articoli li DEVI leggere prima di parlare
            con me, altrimenti fai solo che
            figuracce.

            E ti metto in bold le cose che dovresti aver
            letto prima di scrivere
            scemenze.

            Cito:
            The first instance of the malware - dubbed
            WireLurker by the researchers - was spotted by a
            developer at Chinese company Tencent on June 1.
            In the days that followed, other users have taken
            to online forums to share their discovery of "the
            installation of strange applications and the
            creation of enterprise provisioning profiles
            on their non-jailbroken iPhones and
            iPads ."

            "They also mentioned launch daemons found on
            their Mac computers, with names like
            'machook_damon' and 'WatchProc'. Some of these
            same users stated that they recently downloaded
            and installed applications from the Maiyadi App
            Store, a third party OS X and iOS application
            store in China," the researchers
            noted.

            Their investigation later revealed that almost
            all Mac apps uploaded to that particular online
            store from April 30, 2014, to June 11, 2014, were
            repackaged with WireLurker. 467 apps were
            trojanized, and were downloaded a total of
            356,104 times.


            macaco pwned (rotfl)

            Cocco, ne hai da imparare dai macachi.
            Ma tanta anche.Nel frattempo fai girare questo:http://github.com/PaloAltoNetworks-BD/WireLurkerDetectorNon si sa mai ;)
          • maxsix scrive:
            Re: hippie yeah
            - Scritto da: 2014
            - Scritto da: maxsix

            - Scritto da: collione


            - Scritto da: maxsix






            Do not download Mac apps from third-party

            stores





            che è quello che accade nel 90% dei casi


            d'infezione su


            Android





            ma valgono due pesi e due misure ovviamente






            A meno che non venga fatto il XXXXXXXXX
            della



            periferica.





            nei tuoi sogni forse "even non-jailbroken iOS


            devices"








            http://www.net-security.org/malware_news.php?id=29




            Tu gli articoli li DEVI leggere prima di parlare

            con me, altrimenti fai solo che

            figuracce.



            E ti metto in bold le cose che dovresti aver

            letto prima di scrivere

            scemenze.



            Cito:

            The first instance of the malware - dubbed

            WireLurker by the researchers - was spotted by a

            developer at Chinese company Tencent on June 1.

            In the days that followed, other users have
            taken

            to online forums to share their discovery of
            "the

            installation of strange applications and the

            creation of <b
            enterprise provisioning profiles

            on their non-jailbroken iPhones and

            iPads </b
            ."



            "They also mentioned launch daemons found on

            their Mac computers, with names like

            'machook_damon' and 'WatchProc'. <b
            Some of
            these

            same users stated that they recently downloaded

            and installed applications from the Maiyadi App

            Store, a third party OS X and iOS application

            store in China," the researchers

            noted. </b




            Their investigation later revealed that almost

            all Mac apps uploaded to that particular online

            store from April 30, 2014, to June 11, 2014,
            were

            repackaged with WireLurker. 467 apps were

            trojanized, and were downloaded a total of

            356,104 times.




            macaco pwned (rotfl)



            Cocco, ne hai da imparare dai macachi.

            Ma tanta anche.

            Nel frattempo fai girare questo:
            http://github.com/PaloAltoNetworks-BD/WireLurkerDe
            Non si sa mai ;)Tranquillo il mio account enterprise è sotto il mio diretto controllo e non ho software scaricato da fonti di dubbia provenienza.Non ne ho bisogno.
      • prova123 scrive:
        Re: hippie yeah
        - Scritto da: maxsix

        A meno che non venga fatto il XXXXXXXXX della
        periferica.

        Quindi, siamo alle solite eh.Allora per l'iphone niente copia e incolla :Dhttp://www.melablog.it/post/7741/clippy-aggiunge-il-copia-e-incolla-alliphone-e-ipod-touch-con-XXXXXXXXX
        • maxsix scrive:
          Re: hippie yeah
          - Scritto da: prova123
          - Scritto da: maxsix



          A meno che non venga fatto il XXXXXXXXX della

          periferica.



          Quindi, siamo alle solite eh.

          Allora per l'iphone niente copia e incolla :D

          http://www.melablog.it/post/7741/clippy-aggiunge-ihttp://www.youtube.com/watch?v=OdJC4vvBzCY
Chiudi i commenti