Según un investigador inglés, se dice que existe una vulnerabilidad aparente que se puede usar para robar dinero de un iPhone bloqueado cuando se configura una tarjeta Visa con Apple Pay Express Transit. Un comentario de Sophos.
La comodidad y la seguridad en TI a menudo se relacionan de manera similar con la libertad y la seguridad. Uno solo viene a expensas del otro. Un ejemplo actual es la funcionalidad "Express Transit" de Apple Pay: se pueden pagar pequeñas cantidades cómodamente, a pesar del código de bloqueo. Pero según los últimos informes, esto puede explotarse fatalmente. Paul Ducklin, experto en seguridad de Sophos, explica el problema.
Investigador inglés encuentra vulnerabilidad de iPhone
Un artículo aún por publicar de investigadores del Reino Unido fue noticia a fines de septiembre por sus dramáticas afirmaciones sobre Apple Pay: una aparente vulnerabilidad permite que se robe dinero de un iPhone bloqueado cuando se configura una tarjeta Visa con Apple Pay Express Transit. .
¿Nunca has oído hablar de Express Transit? Es una de esas ideas inteligentes que sacrifica la ciberseguridad por conveniencia. En pocas palabras, esta característica permite que se realicen algunos tipos de transacciones de tocar para pagar incluso cuando el teléfono está bloqueado, siempre que Express Transit esté habilitado.
Principio de pago de Apple Pay: pague sin aprobación adicional
Con Express Transit, Apple Pay y el iPhone funcionan un poco como una tarjeta de crédito normal que no necesita desbloquearse con un código PIN para transacciones de bajo valor. En la mayoría de países europeos, este límite está entre 25 y 50 euros.
Pagar a través de Express Transit a través de un teléfono inteligente es igual de fácil. Si se solicita una transacción, todo lo que se necesita es un simple clic en el teléfono inteligente bloqueado y el dinero ya está con el destinatario. Este último clic puede ocurrir fácilmente sin querer si el usuario rápidamente "hace clic" en algo porque está interesado en otra cosa o si un extraño activa este clic sin que lo note, por ejemplo, en un café o en un tren lleno de gente. Porque a diferencia de la tarjeta de crédito, que normalmente guarda en su billetera y solo saca cuando el pago es realmente debido en la terminal, el teléfono móvil está mucho más a menudo y visiblemente presente, por ejemplo, en una mesa.
El pago desafía el código PIN, la huella digital o el reconocimiento facial
Para evitar el uso indebido del teléfono inteligente, normalmente lo bloqueamos con un código PIN o un mecanismo de autenticación alternativo, como la huella dactilar o el reconocimiento facial. Desafortunadamente, los usuarios siguen desbloqueando las funciones del teléfono en la pantalla de bloqueo, lo que reduce la seguridad que la pantalla de bloqueo está diseñada para brindar en primer lugar, ya sea que muestre notificaciones y mensajes personales mientras el teléfono está bloqueado o no para aprovechar el uso de la pantalla de bloqueo. Función Apple Pay Express Transit.
Los investigadores detrás del trabajo aún por publicar ahora afirman que pudieron engañar a los iPhone para que hicieran pagos fraudulentos en circunstancias cuidadosamente preparadas. Instalaron su propia terminal de pago y la disfrazaron como la empresa de transporte público que formaba parte del sistema de pago Express Transit.
¡Los investigadores probablemente dedujeron hasta 1.000 euros!
Al parecer solo consiguieron robar con cuentas de tarjetas Visa (presumiblemente otros proveedores de pago fueron más estrictos a la hora de decidir si el terminal de pago X pertenecía realmente a la empresa Y), y peor aún: los pagos no estaban limitados al límite habitual de unos 50 euros. Los investigadores afirman que mediante el uso de un terminal de pago fraudulento, pudieron realizar transacciones de hasta más de 1.000 €.
Apple Pay Express Transit: ¿qué hacer?
A pesar de este dramático resultado, los propietarios de iPhone no deben entrar en pánico, pero el informe es una razón para reconsiderar el uso de sus propios teléfonos inteligentes. En general, los usuarios deberían pensar dos veces antes de las excepciones que permiten en el teléfono bloqueado. ¿Es realmente una carga tener que ingresar el código de bloqueo con cada acción? Si responde que sí, tiene que vivir con los riesgos. Para todos los demás que se sienten más seguros con un proceso de desbloqueo, aquí hay algunos consejos más:
- Renunciar a Express Transit y todas las demás funciones activas en la pantalla de bloqueo. Estas opciones inevitablemente sacrifican la seguridad por la comodidad.
- Por el momento, debe evitarse Express Transit junto con una tarjeta Visa. Para ser justos con Visa, asumimos que con suficiente esfuerzo, también se podrían encontrar trucos de derivación similares para otros proveedores de pago. Si está realmente preocupado y no puede vivir sin Express Transit, debe configurar una tarjeta de débito prepaga con un saldo moderado. Al menos entonces, un robo solo es posible para el crédito y no para la línea de crédito de una tarjeta de crédito.
- Nunca deje su teléfono desatendido y solo sáquelo cuando lo esté usando. De lo contrario, sosténgalo en su mano o téngalo en su bolsillo.
- Se debe utilizar el mejor código de bloqueo posible y el período de bloqueo automático más corto. Un teléfono bloqueado es un inconveniente menor, pero un gran obstáculo para los estafadores, incluso para los expertos en tecnología. Un teléfono desbloqueado, por otro lado, es un objetivo abierto para cualquiera, incluso para los delincuentes menores más simples.
- Verifique regularmente los estados de cuenta bancarios y de tarjetas de pago. Cuando se utiliza Express Transit para pagos regulares y predecibles, por ejemplo, en el transporte público, las reservas anormales son fáciles de detectar.
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.