Immaginate di avere il vostro iPhone in tasca, completamente bloccato, eppure qualcuno riesce a prelevare migliaia di dollari dal vostro portafoglio digitale senza toccare lo schermo o richiedere il riconoscimento facciale! Potrebbe sembrare la trama di un film di fantascienza, ma è successo davvero in un esperimento reale, seppur controverso. Alcuni ricercatori di sicurezza delle Università del Surrey e di Birmingham hanno condotto un sofisticato attacco contro l'iPhone del popolare YouTuber Marcus Brownlee (MKBHD), riuscendo a prelevare ben 10,000 dollari dal suo dispositivo bloccato.
Trucco di trasporto veloce
L'attacco, evidenziato dal popolare canale Veritasium, sfrutta una vulnerabilità nella modalità Express Transit di Apple Pay. Questa funzione è progettata per consentire pagamenti rapidi nelle stazioni della metropolitana e degli autobus senza dover sbloccare l'iPhone o utilizzare il Face ID. Tuttavia, i ricercatori hanno trovato un modo per ingannare il telefono, facendogli credere di trovarsi ai tornelli di una stazione dei trasporti pubblici quando in realtà si trova presso un lettore di carte fasullo.
Ciò richiede l'accesso fisico al dispositivo e attrezzature specializzate. Un lettore NFC collegato a un laptop viene utilizzato per intercettare la connessione. L'ID del lettore NFC viene quindi modificato per corrispondere agli ID dei terminali autorizzati e i dati di pagamento raccolti vengono inviati a un altro telefono (un telefono compromesso) che viene posizionato vicino a un lettore di carte legittimo per completare il furto.
Perché proprio le carte Visa?
La cosa interessante di questa vulnerabilità è che funziona solo con una combinazione molto specifica: un iPhone e una carta Visa. A quanto pare, il problema non risiede nel sistema operativo di Apple, bensì nei protocolli di sicurezza di Visa per la gestione delle transazioni di trasferimento rapido. L'attacco non funziona con le carte Mastercard o American Express perché queste società utilizzano metodi di sicurezza diversi che non possono essere aggirati allo stesso modo.
Anche gli utenti di dispositivi Samsung e del servizio Samsung Pay sono al sicuro da questo tipo di attacco, il che mette Visa e Apple di fronte alla responsabilità di questa falla di sicurezza che permette di aggirare i limiti delle transazioni tradizionali e di prelevare ingenti somme, fino a migliaia di dollari, in una singola operazione.
Dovresti preoccuparti dei tuoi soldi?
In risposta a questo incidente, Apple ha dichiarato che il problema era legato al sistema Visa e che una frode di questo tipo difficilmente si verificherebbe nella realtà, data la complessità tecnica e l'accesso fisico necessari. Visa, dal canto suo, ha sottolineato che i suoi titolari di carta sono tutelati da una politica di "responsabilità zero", il che significa che qualsiasi transazione fraudolenta di questo tipo può essere facilmente recuperata.
In poche parole, non dovresti preoccuparti
Gli esperti ritengono che condurre un attacco su così vasta scala in strada sarebbe estremamente difficile, ma serve a ricordare che la tecnologia, per quanto sicura, può sempre contenere vulnerabilità inaspettate. Se siete preoccupati, il consiglio più semplice è quello di evitare di utilizzare una carta Visa come metodo di pagamento principale per "Fast Transit" sul vostro iPhone, oppure semplicemente disattivare la funzione se non utilizzate mezzi di trasporto pubblico supportati.
Fonte:
5 recensioni