Un team di ricercatori del Regno Unito ha individuato una presunta problematica di sicurezza legata alle carte Visa e Apple Pay usato nella modalità Carta rapida trasporti, una vulnerabilità che teoricamente potrebbe permettere a un attacker di bypassare la schermata di blocco e attivare pagamenti fraudolenti.
Stando a quanto riferiscono i ricercatori, la falla si verifica quando su iPhone si impostano le carte Visa con la modalità “Carta rapida trasporti”, funzionalità utile per pagare rapidamente i trasporti pubblici con Apple Pay. La falla permetterebbe a un attacker di bypassare la schermata di blocco dell’iPhone ed effettuare pagamenti contactless senza bisogno di digitare il codice di accesso.
La modalità “Carta rapida trasporti”, come accennato, permette di pagare rapidamente i trasporti pubblici senza dover riattivare/sbloccare il dispositivo o aprire un’app, e senza neanche nemmeno eseguire la convalida con Face ID, Touch ID o il codice.
I ricercatori riferiscono che la vulnerabilità riguarda solo le carte Visa memorizzate nel Wallet, ed è legata ad un codice univoco trasmesso ai varchi di transito o tornelli, sfruttato per segnalare all’iPhone di sbloccare Apple Pay.
Usando apparecchiature radio non troppo difficili da ottenere, i ricercatori sono stati in grado di portare a termine un attacco, facendo credere all’iPhone di essere nei pressi di un lettore contactless usato per i trasporti pubblici. Il proof-of-concept dell’attacco è stato fatto usando un iPhone con la modalità Express Transit attivata, dimostrando la possibilità di effettuare un pagamento fraudolento con un lettore per pagamenti smart. Attacchi simili, secondo i ricercatori, potrebbero essere già stati sfruttati trasmettendo il codice univoco usato dalle aziende di trasporto e modificando una serie di variabili.
I ricercatori evidenziano ad ogni modo che questa tipologia di attacco non è per nulla pratica su larga scala, e anche se teoricamente è possibile portarli a termine, banche e istituti finanziari monitorando i pagamenti e prevedono meccanismi per scoraggiare le frodi individuando transazioni sospette.
I ricercatori riferiscono ad ogni modo di avere avvisato Apple nell’ottobre del 2020 e Visa a maggio di quest’anno. Un portavoce di Visa ha rilasciato una dichiarazione a ZDNet: “Varianti di meccanismi di frode contactless sono allo studio in ambiente di laboratorio da oltre un decennio, dimostrando di essere impraticabili da eseguire in scala nel mondo reale”. E ancora: “Visa tiene conto molto seriamente di tutte le possibili minacce, e lavoriamo incessantemente per rafforzare la sicurezza dei pagamenti di tutto l’ecosistema”.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.