Secondo un ricercatore inglese, si dice che ci sia un'apparente vulnerabilità che può essere utilizzata per rubare denaro da un iPhone bloccato quando una carta Visa è configurata con Apple Pay Express Transit. Un commento da Sophos.
Convenienza e sicurezza nell'IT sono spesso correlate in modo simile alla libertà e alla sicurezza. Uno viene solo a spese dell'altro. Un esempio attuale è la funzionalità "Express Transit" di Apple Pay: piccoli importi possono essere pagati comodamente, nonostante il codice di blocco. Ma secondo gli ultimi rapporti, questo può essere sfruttato fatalmente. Paul Ducklin, esperto di sicurezza di Sophos, spiega il problema.
Il ricercatore inglese trova la vulnerabilità dell'iPhone
Un documento ancora da pubblicare di ricercatori britannici ha fatto notizia alla fine di settembre per le sue drammatiche affermazioni su Apple Pay: un'apparente vulnerabilità consente il furto di denaro da un iPhone bloccato quando una carta Visa è configurata con Apple Pay Express Transit è .
Mai sentito parlare di Express Transit? È una di quelle idee intelligenti che sacrificano la sicurezza informatica per comodità. In poche parole, questa funzione consente di eseguire alcuni tipi di transazioni touch-to-pay anche quando il telefono è bloccato, a condizione che Express Transit sia abilitato.
Principio di pagamento Apple Pay: paga senza ulteriore approvazione
Con Express Transit, Apple Pay e l'iPhone funzionano un po' come una normale carta di credito che non ha bisogno di essere sbloccata con un codice PIN per le transazioni di basso valore. Nella maggior parte dei paesi europei, questo limite è compreso tra 25 e 50 euro.
Pagare tramite Express Transit tramite smartphone è altrettanto semplice. Se viene richiesta una transazione, basta un semplice click sullo smartphone bloccato e il denaro è già con il destinatario. Questo ultimo clic può facilmente verificarsi involontariamente se l'utente "fa clic per chiudere" rapidamente qualcosa perché è attualmente interessato a qualcos'altro o se questo clic viene attivato inosservato da uno sconosciuto, ad esempio in un bar o su un treno affollato. Perché a differenza della carta di credito, che di solito tieni nel portafoglio e tiri fuori solo quando il pagamento è effettivamente dovuto al terminale, il cellulare è molto più spesso e visibilmente presente, ad esempio su un tavolo.
Il pagamento sfida il codice PIN, l'impronta digitale o il riconoscimento facciale
Affinché lo smartphone non possa essere utilizzato in modo improprio, lo blocchiamo comunemente con un codice pin o un meccanismo di autenticazione alternativo come l'impronta digitale o il riconoscimento facciale. Sfortunatamente, gli utenti continuano a sbloccare le funzionalità del telefono nella schermata di blocco, riducendo in primo luogo la sicurezza che la schermata di blocco è progettata per fornire, sia che mostri notifiche e messaggi personali mentre il telefono è bloccato o che non sfrutti l'uso del Funzionalità Apple Pay Express Transit.
I ricercatori dietro il lavoro ancora da pubblicare ora affermano di essere stati in grado di indurre gli iPhone a effettuare pagamenti fraudolenti in circostanze attentamente preparate. Hanno creato il proprio terminale di pagamento e lo hanno camuffato come la società di trasporto pubblico che faceva parte del sistema di pagamento Express Transit.
I ricercatori probabilmente hanno detratto fino a 1.000 euro!
A quanto pare sono riusciti a rubare solo con conti di carte Visa (presumibilmente altri fornitori di servizi di pagamento sono stati più severi nel decidere se il terminale di pagamento X appartenesse davvero alla società Y), e anche peggio: i pagamenti non erano limitati dal solito limite di circa 50 euro. I ricercatori affermano che utilizzando un terminale di pagamento fraudolento, sono stati in grado di effettuare transazioni fino a oltre 1.000 euro.
Apple Pay Express Transit: cosa fare?
Nonostante questo drammatico risultato, i possessori di iPhone non devono farsi prendere dal panico, ma il rapporto è un motivo per riconsiderare l'uso dei propri smartphone. In generale, gli utenti dovrebbero pensare due volte alle eccezioni consentite sul telefono bloccato. È davvero un peso dover inserire il codice di blocco ad ogni azione? Se rispondi di sì, devi convivere con i rischi. Per tutti gli altri che si sentono più sicuri con un processo di sblocco, ecco alcuni altri suggerimenti:
- Rinuncia a Express Transit e a tutte le altre funzionalità attive nella schermata di blocco. Queste opzioni inevitabilmente sacrificano la sicurezza per comodità.
- Il transito espresso in combinazione con una carta Visa dovrebbe essere evitato per il momento. Per essere onesti con Visa, supponiamo che con uno sforzo sufficiente, simili trucchi di bypass potrebbero essere trovati anche per altri fornitori di servizi di pagamento. Se sei davvero preoccupato e non puoi vivere senza Express Transit, dovresti impostare una carta di debito prepagata con un saldo moderato. Almeno allora un furto è possibile solo per il credito e non per la linea di credito di una carta di credito.
- Non lasciare mai il telefono incustodito e tiralo fuori solo quando lo stai usando. Altrimenti, tienilo in mano o tienilo in tasca.
- Si dovrebbe utilizzare il miglior codice di blocco possibile e il periodo di blocco automatico più breve. Un telefono bloccato è un piccolo inconveniente ma un grosso ostacolo per i truffatori, anche quelli esperti di tecnologia. Un telefono sbloccato, invece, è un bersaglio aperto per chiunque, anche il più semplice dei piccoli criminali.
- Controlla regolarmente gli estratti conto bancari e delle carte di pagamento. Quando si utilizza Express Transit per pagamenti regolari e prevedibili, ad esempio sui trasporti pubblici, le prenotazioni anomale sono facili da individuare.
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.