Los investigadores han descubierto una falla en el funcionamiento de la función Express Transit de Apple con las tarjetas de pago Visa que podrían permitir a los piratas informáticos cargar dinero en sus cuentas Visa configuradas en Apple Pay incluso cuando su iPhone está bloqueado.
De acuerdo con BBC , los investigadores de los departamentos de informática de las universidades de Birmingham y Surrey pudieron realizar un pago de Visa sin contacto de £ 1,000 desde un iPhone bloqueado, sin necesidad de autorización del propietario del dispositivo.
El problema, que parece ocurrir específicamente con las tarjetas Visa, tiene que ver con Apple Pay Express Transit, una función que Apple dio a conocer en iOS 12 que permite realizar pagos rápidos sin contacto desde un iPhone o una Apple. Mire sin desbloquear su dispositivo o incluso abrir manualmente una tarjeta de pago específica.
En su lugar, los usuarios designan uno de sus métodos de pago para usarlo específicamente para Express Transit en la configuración de su iPhone Wallet y Apple Pay. Cuando un iPhone o Apple Watch se mueve cerca de una terminal de pago de tránsito, la tarifa adecuada se deduce automáticamente de esa tarjeta de pago sin necesidad de autorización.
Es comprensible que sea una función muy útil para los viajeros ocupados, y ha sido implementado en ciudades desde Londres hasta Nueva York, donde los usuarios de iPhone y Apple Watch pueden tocar sus dispositivos rápida y fácilmente para pagar sus tarifas y luego seguir adelante de inmediato.
Si bien Express Transit no requiere autorización En el caso de los pagos, se supone que el sistema solo se debe utilizar para manejar transacciones más pequeñas, aquellas que serían típicas de una tarifa de tránsito. Desafortunadamente, parece que Apple confía en los procesadores de pagos para proporcionar las medidas antifraude necesarias, y parece que Visa puede no estar a la altura del desafío.
‘Una preocupación con un sistema de Visa’
Según el informe de la BBC, un portavoz de Apple volvió a poner el problema sobre los hombros de Visa, diciendo que era “una preocupación con un sistema de Visa, ”Y no es realmente un problema de Apple.
Si bien podría pensar que Apple debería asumir la responsabilidad de hacer cumplir los límites de pago en funciones como Express Transit, también es justo decir que ese no es realmente su trabajo en este contexto, y en De hecho, sus acuerdos con Visa, Mastercard y otros pueden incluso impedir que Apple participe en la autorización de transacciones, ya que es responsabilidad exclusiva de ellos.
La función de Apple es simplemente pasar la información a la red de pago y dejar que ellos se ocupen de ella.
Dado que este problema es específico de Visa, investigadores probó el mismo escenario con Mastercard, pero”descubrió que la forma en que funciona su seguridad evitó el ataque”, y otras fuentes han indicado que otras redes de pago como American Express tienen protecciones similares.
Los investigadores también señalaron que se acercó tanto a Apple como a Visa hace casi un año con estas inquietudes, y aunque mantuvieron conversaciones”útiles”, el problema sigue sin resolverse.
Cuando fue contactada por la BBC, Visa restó importancia al problema y dijo que este ataque era “Poco práctico”, ya que requiere un equipo algo especializado y un contacto muy cercano con el iPhone o Apple Watch de una víctima potencial.
Las tarjetas Visa conectadas a Apple Pay Express Transit son seguras y los titulares de tarjetas deben seguir utilizándolas con confianza. Las variaciones de los esquemas de fraude sin contacto se han estudiado en entornos de laboratorio durante más de una década y han demostrado ser poco prácticos para ejecutar a escala en el mundo real.
Visa
Un portavoz de Apple básicamente sugirió que es Realmente depende de Visa decidir si esto es un problema o no, agregando que la política de responsabilidad cero de la compañía protegería a sus titulares de tarjetas de pagos no autorizados de todos modos.
Aceptamos cualquier amenaza a la seguridad de los usuarios muy seriamente. Esta es una preocupación con el sistema Visa, pero Visa no cree que este tipo de fraude pueda ocurrir en el mundo real dadas las múltiples capas de seguridad existentes. En el improbable caso de que ocurra un pago no autorizado, Visa ha dejado en claro que los titulares de sus tarjetas están protegidos por la política de responsabilidad cero de Visa.
Apple
Cómo funciona
El El equipo de investigadores demostró el ataque tomando dinero de sus propias cuentas, utilizando equipos específicamente modificados que engañan al iPhone haciéndole creer que está hablando con un sistema de pago de tránsito.
Si bien el grupo, naturalmente, no entró en detalles, sí dijo que todo lo que se requiere es un”pequeño equipo de radio disponible comercialmente”y un teléfono Android que ejecute una aplicación personalizada.
El teléfono inteligente Android transmite la información del iPhone a otra terminal de pago sin contacto, que podría ser una de cualquier tienda minorista o una que controlen los propios delincuentes.
Esencialmente, lo que está sucediendo aquí es que, dado que el iPhone cree que está hablando con una terminal de pago de tránsito legítimo, renuncia a las credenciales de Visa sin ser desbloqueado. Esa información se captura y”reproduce”en una terminal de pago legítima, que puede configurarse para cobrar cualquier cantidad que los atacantes decidan.
El teléfono y el terminal de pago del atacante utilizados para autorizar la transacción tampoco necesitan estar cerca del iPhone de la víctima, lo que podría hacer que sea mucho más difícil rastrear la fuente del ataque.
Puede estar en otro continente desde el iPhone siempre que haya una conexión a Internet.
Dra. Ioana Boureanu, Universidad de Surrey
A pesar de la insistencia de Visa en que el El ataque no es práctico, el investigador principal, el Dr. Andreea Radu, dice que los ataques complejos que funcionan en el laboratorio terminan siendo utilizados por los delincuentes, especialmente si existe la posibilidad de una gran recompensa.
Tiene cierta complejidad técnica, pero creo que las recompensas por hacer el ataque son bastante altas. En unos años, esto podría convertirse en un problema real.
El Dr. Andreea Radu, Universidad de Birmingham
Cómo protegerse
Para ser claros, los investigadores solo han demostrado este ataque en un entorno de laboratorio, y no ha habido evidencia de que sea actualmente siendo explotado por nadie.
Esto no es tan diferente de los ataques con tarjetas de crédito sin contacto que han sido de conocimiento común durante más de una década, excepto, por supuesto, por el hecho de que uno de los puntos de venta de Apple Pay es que se supone que es más seguro.
Además, se puede colocar una tarjeta física sin contacto dentro de una billetera con protección RFID , pero esa no es realmente una opción para un iPhone o un Apple Watch, los cuales también es más probable que se usen al aire libre en lugar de esconderlos en su bolsillo o bolso.
Afortunadamente, si le preocupa que pueda ser víctima de esto, existe una manera muy fácil de protegerse: simplemente evite usar una tarjeta Visa para Express Transit. A continuación, le indicamos cómo verificarlo:
Abra la aplicación Configuración en su iPhone. Desplácese hacia abajo y presione Monedero y Apple Pay . En Tarjetas de tránsito, presione Express Tarjeta de tránsito . Aparece una casilla de verificación junto a la tarjeta que estás usando actualmente para Express Transit. Presiona para seleccionar una tarjeta alternativa o presiona Ninguno para inhabilitar Express Transit por completo.
Si tiene un Apple Watch, también deberá verificar esto, ya que no está vinculado a la configuración de Express Transit en su iPhone:
Abra la aplicación Watch en su iPhone.Desplázate hacia abajo y toca Wallet & Apple Pay . Debajo de Transit Cards, toca Express Transit Card . Aparece una casilla de verificación junto a la tarjeta que estás usando actualmente para Express Transit. Presiona para seleccionar una tarjeta alternativa o presiona Ninguno para inhabilitar Express Transit por completo.
Tampoco es necesario tener habilitado Express Transit a menos que viva en una ciudad donde esté disponible y utilice regularmente el sistema de transporte de esa ciudad. En este caso, seleccionar”Ninguno”es la opción más segura.
