Il 1° ottobre, i ricercatori della sicurezza informatica hanno annunciato una vulnerabilità irrisolta in Apple Pay: gli aggressori possono utilizzare la modalità Express Travel nel wallet per rubare i pagamenti Visa anche quando l’iPhone è bloccato.
La modalità Express Travel consente agli utenti di iPhone e Apple Watch di effettuare pagamenti contactless veloci quando prendono i mezzi pubblici senza dover aprire l’app, riattivare o sbloccare il dispositivo o persino utilizzare Face ID, Touch ID o la verifica della password.
Gli studiosi dell’Università di Birmingham e dell’Università del Surrey hanno affermato: “Finché l’attaccante ottiene un iPhone rubato acceso, può utilizzare il visto della vittima per pagare a piacimento all’insaputa della vittima. Il comportamento non verrà rilevato dal commerciante”.
Le vulnerabilità nei sistemi Apple Pay e Visa possono essere sfruttate congiuntamente: attacchi replay e relay man-in-the-middle (MitM) possono aggirare la schermata di blocco e inviare richieste di pagamento a qualsiasi lettore di carte EMV. Tuttavia, il pagamento Mastercad in Apple Pay e il pagamento Visa in Samsung Pay non sono interessati.
I ricercatori hanno affermato che Apple e Visa hanno ricevuto avvisi della vulnerabilità rispettivamente nell’ottobre 2020 e nel maggio 2021. Entrambe le parti hanno riconosciuto la gravità della vulnerabilità, ma le due parti non hanno ancora raggiunto un accordo su quale parte dovrebbe correggere la vulnerabilità.
Visa ha dichiarato alla BBC che tali attacchi sono “irrealistici”. “Per più di dieci anni, abbiamo condotto ricerche sulla frode senza contatto e le sue varianti in un ambiente sperimentale. I risultati dimostrano che la frode senza contatto è implementata su larga scala in realtà. La frode è impraticabile.”
Un portavoce di Apple ha dichiarato alla BBC: “Questo è un problema con il sistema Visa, ma Visa ritiene che, data l’esistenza di più livelli di protezione della sicurezza, questo tipo di frode non accadrà nella pratica”.
https://thehackernews.com/2021/10/apple-pay-can-be-abused-to-make.html
Fonte di riferimento