Un team di ricercatori nel Regno Unito ha scoperto una serie di problemi di sicurezza relativi alle carte Visa e Apple Pay che potrebbero consentire agli aggressori di eludere la schermata di blocco ed effettuare pagamenti fraudolenti.
Secondo questa recente scoperta, il bug si verifica quando le carte Visa sono impostate in modalità Express Transit su un iPhone, consentendo agli aggressori di aggirare la schermata di blocco dell’iPhone ed effettuare pagamenti contactless senza il passcode.
La modalità Express Transit di Apple consente agli utenti di pagare rapidamente i trasporti pubblici compatibili utilizzando una carta di credito, di debito o un titolo di viaggio senza sbloccare il dispositivo.
I ricercatori affermano che la vulnerabilità riguarda solo le carte Visa archiviate in Wallet ed è causata da un codice univoco trasmesso dai varchi di transito o dai tornelli che segnalano a un iPhone di sbloccare Apple Pay. Utilizzando comuni apparecchiature radio, i ricercatori sono stati in grado di eseguire un attacco che ha indotto l’iPhone a credere che si trovasse nei pressi di un tornello. L’attacco proof-of-concept ha portato un iPhone con Express Transit abilitato a effettuare un pagamento non autorizzato a un lettore smart abilitato a ricevere pagamenti contactless. Un attacco simile può essere portato avanti trasmettendo il codice univoco e modificando un insieme di variabili.
Tuttavia, i ricercatori sottolineano che l’attacco non è facile da portare a termine su larga scala. Anche se un aggressore fosse in grado di farcela, le banche e gli istituti finanziari dispongono di altri meccanismi che scoraggiano le frodi rilevando e annulando transazioni sospette.
I ricercatori hanno avvisato Apple nell’ottobre 2020 e Visa nel maggio 2021. In una recente dichiarazione, Visa ha affermato che questo tipo di attacco non è una novità e che i clienti hanno poco di cui preoccuparsi.
Vari schemi di frode contactless sono stati studiati in ambienti di laboratorio per più di un decennio e si sono rivelati poco pratici da eseguire su larga scala nel mondo reale. Visa prende molto sul serio tutte le minacce alla sicurezza e lavoriamo instancabilmente per rafforzare la sicurezza dei pagamenti in tutto l’ecosistema.
Insomma, al momento c’è poco di cui preoccuparsi.