Apple News

Els experts en seguretat adverteixen del pirateig de trànsit express d'Apple Pay que permet grans pagaments de Visa no autoritzats des d'iPhone bloquejats

Dijous, 30 de setembre de 2021 a les 1:14 PDT per Tim Hardwick

Investigadors del Regne Unit han demostrat com es poden fer grans pagaments sense contacte no autoritzats en iPhones bloquejats mitjançant l'explotació Apple Pay La funció de transport exprés quan està configurada amb Visa.



apple pay express transit londres
Express Transit és un ‌Apple Pay‌ funció que permet el pagament amb toc i anar a les barreres de bitllets, eliminant la necessitat d'autenticar-se amb Face ID, Touch ID o una contrasenya. No cal que el dispositiu estigui activat ni desbloquejat per utilitzar Express Transit.

Investigadors en informàtica de les universitats de Birmingham i Surrey van demostrar a la BBC com funciona l'atac aprofitant una debilitat del sistema sense contacte de Visa mitjançant l'ús d'un petit equip de ràdio disponible comercialment, que es col·loca a prop del telèfon i es fa passar com una barrera per a bitllets.





Un telèfon Android amb una aplicació desenvolupada pels investigadors s'utilitza per transmetre senyals de la iPhone a un terminal de pagament sense contacte i modifica les comunicacions per enganyar el terminal perquè actuï com si l'‌iPhone‌ s'ha desbloquejat i s'ha autoritzat un pagament.

En demostrar l'atac, els investigadors van fer un pagament Visa sense contacte de 1.000 £ des d'un ‌iPhone‌ bloquejat. Els científics només treien diners dels seus propis comptes. Els investigadors van dir que el telèfon Android i el terminal de pagament utilitzats no cal que estiguin a prop de l'‌iPhone‌ sempre que hi hagi connexió a Internet.

Apple li va dir BBC l'assumpte era un problema amb el sistema de visats.

Puc afegir applecare després de la compra?

'Ens prenem molt seriosament qualsevol amenaça a la seguretat dels usuaris', va dir Apple. 'Això és una preocupació amb un sistema Visa, però Visa no creu que aquest tipus de frau sigui probable que es produeixi al món real ateses les múltiples capes de seguretat existents. En el cas poc probable que es produeixi un pagament no autoritzat, Visa ha deixat clar que els seus titulars de targeta estan protegits per la política de responsabilitat zero de Visa.

Els investigadors van dir que l'atac podria ser més fàcil de desplegar contra un ‌iPhone‌ robat, tot i que no hi ha proves que el pirateig s'hagi utilitzat en estat salvatge. Visa va dir que els pagaments eren segurs i que els atacs d'aquest tipus no eren pràctics fora d'un laboratori.

diferència entre iphone 12 i mini

'Les targetes Visa connectades a Apple Pay Express Transit són segures i els titulars de les targetes haurien de continuar utilitzant-les amb confiança', va dir un portaveu de Visa. 'Les variacions dels esquemes de frau sense contacte s'han estudiat en entorns de laboratori durant més d'una dècada i han demostrat que no són pràctics d'executar-les a escala al món real'.

Els investigadors li van dir BBC es van acostar per primera vegada a Apple i Visa amb les seves preocupacions fa gairebé un any, però malgrat les converses 'útils', el problema encara no s'ha solucionat. Els investigadors també van provar Express Transit amb Mastercard, però van trobar que la manera com funciona la seva seguretat va evitar l'atac.

'Té certa complexitat tècnica', va dir la doctora Andreea Radu, de la Universitat de Birmingham, que va dirigir la investigació. 'Però crec que les recompenses de fer l'atac són bastant altes. D'aquí a uns anys, això podria convertir-se en un problema real”.

El doctor Tom Chothia, també de la Universitat de Birmingham, va assessorar ‌iPhone‌ usuaris per comprovar si tenen una targeta Visa configurada per utilitzar Express Transit i, si és així, desactivar-la. 'No cal que ‌Apple Pay‌ els usuaris estiguin en perill, però fins que Apple o Visa ho solucionin, ho estan', va dir.

Resum relacionat: Apple Pay Etiquetes: Visa , Express Transit Fòrum relacionat: Apple Music, Apple Pay/Card, iCloud, Fitness+