Apple Pay El error podría permitir a los atacantes pasar por alto la pantalla de bloqueo y realizar pagos

Un equipo de investigadores del Reino Unido ha descubierto problemas de seguridad relacionados con las tarjetas Visa y Apple Pay eso podría resultar en que los atacantes pasen por alto la pantalla de bloqueo y realicen pagos fraudulentos.

Según la investigación, la falla ocurre cuando las tarjetas Visa se configuran en AppleModo Express Transit en un iPhone. La falla podría permitir a los atacantes eludir la pantalla de bloqueo del iPhone y realizar pagos sin contacto sin el código de acceso.

  

AppleEl modo Express Transit permite a los usuarios pagar rápidamente los viajes en transporte utilizando una tarjeta de crédito, débito o de tránsito sin desbloquear su dispositivo.

Los investigadores dicen que la vulnerabilidad solo afecta a las tarjetas Visa almacenadas en Wallet. Es causado por un código único transmitido por puertas de tránsito o torniquetes de tránsito que indican a un iPhone que se desbloquee. Apple Pay.

Mediante el uso de equipos de radio comunes, los investigadores pudieron realizar un ataque que engañó a un iPhone haciéndole creer que estaba en una puerta de tránsito. El ataque de prueba de concepto involucró a un iPhone con Express Transit habilitado para realizar un pago fraudulento a un lector de pago inteligente. Un ataque similar podría ocurrir en la naturaleza al transmitir el código único y modificar un conjunto de variables.

Sin embargo, los investigadores señalan que el ataque no parece práctico a gran escala. Incluso si un atacante pudiera llevarlo a cabo, los bancos y las instituciones financieras tienen otros mecanismos que disuaden el fraude al detectar transacciones sospechosas.

La falla fue descubierta por investigadores de la Universidad de Birmingham y la Universidad de Surrey en el Reino Unido.Los autores del artículo, que se publicará en el Simposio de Seguridad y Privacidad del IEEE 2022, son Andreea-Ina Radu, Tom Chothia, Christopher JP Newton, Ioana Boureanu y Liqun Chen.

Los investigadores alertaron Apple al primero en octubre de 2020 y Visa en mayo de 2021.

En un comunicado a, Visa dice que este tipo de ataque no es nada nuevo y que los clientes tienen poco de qué preocuparse.

“Las variaciones de los esquemas de fraude sin contacto se han estudiado en entornos de laboratorio durante más de una década y han demostrado ser poco prácticos para ejecutar a escala en el mundo real”, escribió la compañía de tarjetas de crédito. “Visa se toma muy en serio todas las amenazas a la seguridad y trabajamos incansablemente para fortalecer la seguridad de los pagos en todo el ecosistema”.