Le ricerche hanno rilevato una vulnerabilità nel sistema di pagamento di Apple Pay e Visa. Dopo aver scoperto un bug che i truffatori potrebbero utilizzare per eludere le misure di sicurezza ed effettuare acquisti contactless illimitati, i ricercatori hanno invitato gli utenti di iPhone a cancellare Visa come carta di trasporto utilizzando Apple Pay.
Gli esperti dell’Università di Birmingham e dell’Università del Surrey hanno sollevato dubbi sul fatto che il difetto potrebbe essere utilizzato per condurre transazioni da un iPhone nel bagaglio di qualcuno senza che loro lo sappiano.
C’è una falla di sicurezza nel sistema di pagamento di Apple Pay e Visa
Si dice che il problema si verifichi solo con Apple Pay quando una carta Visa è impostata come Express Travel Card, nota anche come modalità Express Transit. Il team ha utilizzato semplici apparecchiature radio per indurre l’iPhone a credere che stesse comunicando con un cancello di transito quando in realtà era un lettore di pagamento. Ciò è stato ottenuto rilevando un codice univoco inviato dai varchi di transito, che è stato poi utilizzato per interferire con i segnali tra l’iPhone e un lettore di carte del negozio.
Il Dr. Tom Chothia dell’Università di Birmingham ha dichiarato: “I possessori di iPhone dovrebbero verificare se hanno una carta Visa configurata per i pagamenti di transito e, in tal caso, dovrebbero disabilitarla. Non c’è bisogno che gli utenti di Apple Pay siano in pericolo, ma finché Apple o Visa non lo risolvono lo sono.
I test del gruppo hanno rilevato che i controlli di rilevamento delle frodi di back-end non sono stati in grado di impedire l’esecuzione dei pagamenti. I ricercatori hanno affermato di aver parlato con Apple e Visa della vulnerabilità, sostenendo che entrambi hanno riconosciuto l’importanza del problema sottostante, ma devono ancora raggiungere un accordo su chi dovrebbe implementare una soluzione.
“Variazioni di schemi di frode senza contatto sono state studiate in ambienti di laboratorio per più di un decennio e si sono rivelate poco pratiche da eseguire su larga scala nel mondo reale”, ha affermato una portavoce di Visa. “Visa prende molto sul serio tutte le minacce alla sicurezza e lavoriamo instancabilmente per rafforzare la sicurezza dei pagamenti in tutto l’ecosistema”, ha aggiunto.
Quindi, Apple ha risposto con: “Prendiamo molto seriamente qualsiasi minaccia alla sicurezza degli utenti. Questo è un problema con un sistema Visa, ma Visa non crede che questo tipo di frode possa aver luogo nel mondo reale, dati i molteplici livelli di sicurezza in atto. Nell’improbabile eventualità che si verifichi un pagamento non autorizzato, Visa ha chiarito che i suoi titolari di carta sono protetti dalla politica di responsabilità zero di Visa”.
Apple e Visa non sono riuscite a trovare un accordo
La dott.ssa Andreea Radu, leader dello studio, ha commentato che: “Il nostro lavoro mostra un chiaro esempio di una funzionalità, pensata per semplificare la vita in modo incrementale, ritorcendosi contro e incidendo negativamente sulla sicurezza, con conseguenze finanziarie potenzialmente gravi per gli utenti”.
“Le nostre discussioni con Apple e Visa hanno rivelato che quando due parti del settore hanno ciascuna la colpa parziale, nessuna è disposta ad accettare la responsabilità e implementare una soluzione, lasciando gli utenti vulnerabili a tempo indeterminato”, ha aggiunto.
La falla di sicurezza non si applica ad altre combinazioni, come Mastercard su iPhone o Visa su Samsung Pay. I risultati completi dei ricercatori saranno presentati al 2022 IEEE Symposium on Security and Privacy.