Apple Pay : Bug consente di effettuare pagamenti contactless con iPhone bloccati

Ricercatori hanno rivelato un bug senza patch su Apple Pay che potrebbe consentire un pagamento Visa non autorizzato con un iPhone bloccato sfruttando la modalità Express Travel impostata nel portafoglio del dispositivo.

Gli esperti della School of Computer Science hanno scoperto un bug nei sistemi Apple e Visa tramite cui gli hacker potrebbero riuscire a bypassare la schermata di blocco di iPhone ed effettuare pagamenti contactless non autorizzati con Apple Pay.

Gli studiosi hanno scoperto che la vulnerabilità  si attiva quando le carte Visa sono impostate in modalità Express Transit, una funzionalità di Apple Pay (non disponibile in Italia) che consente il pagamento tap-and-go ai tornelli senza bisogno di autenticarsi con FaceId o passcode.

“Un utente malintenzionato ha solo bisogno di un iPhone rubato. Le transazioni potrebbero anche essere trasmesse da un iPhone all’interno della borsa di qualcuno, a loro insaputa”, nell’analisi condotta dal gruppo di accademici . “L’attaccante non ha bisogno dell’assistenza del commerciante e i controlli di rilevamento delle frodi di backend non hanno bloccato nessuno dei nostri pagamenti di prova”.

La società Visa ha rilasciato il comunicato che riportiamo:

“Le carte Visa collegate a Apple Pay Express Transit sono sicure e i titolari possono continuare a utilizzarle senza timore. Varianti di frode contactless sono state studiate in ambienti di laboratorio per più di un decennio e si sono dimostrate impraticabili su scala nel mondo reale. Visa considera con la massima serietà tutte le minacce alla sicurezza ed è impegnata costantemente per rafforzare l’affidabilità dei pagamenti in tutto l’ecosistema.”