La sicurezza dei pagamenti digitali su iPhone è finita sotto i riflettori dopo la pubblicazione di un test condotto dal noto canale YouTube Veritasium.
In un ambiente controllato, un gruppo di ricercatori è riuscito a sottrarre 10.000 dollari dall’iPhone bloccato dello youtuber Marques Brownlee, sfruttando una vulnerabilità che coinvolge il sistema NFC e la gestione delle carte di credito Visa.
Questo exploit consente agli aggressori di aggirare il blocco dello schermo e di effettuare transazioni non autorizzate, a condizione che sul dispositivo sia attiva la modalità “Express Transit” (modalità Carta rapida trasporti) con una carta Visa associata.
La vulnerabilità non riguarda l’hardware di Apple, ma una specifica debolezza del sistema di comunicazione di Visa che non applica i normali limiti di spesa quando il telefono simula un pagamento presso un terminale per i trasporti pubblici.
L’attacco, sviluppato originariamente dagli esperti di cybersecurity delle università di Surrey e Birmingham, richiede un’attrezzatura specifica e l’accesso fisico ravvicinato al dispositivo della vittima. Gli aggressori utilizzano un lettore NFC collegato a un laptop per intercettare i dati e ingannare l’iPhone, facendogli credere di trovarsi di fronte a un tornello della metropolitana.
Questi dati vengono poi trasmessi a un secondo smartphone che effettua l’acquisto su un terminale legittimo, aggirando completamente la richiesta di Face ID o Touch ID.
È importante sottolineare che il problema non riguarda né Mastercard né American Express, in quanto questi circuiti utilizzano metodi di autenticazione differenti che non sono vulnerabili a questo tipo di manipolazione. Anche Samsung Pay sembra immune a questa tecnica, limitando il rischio alla combinazione tra uno smartphone Apple e una carta Visa configurata per i pagamenti rapidi dei trasporti.
Apple ha risposto ufficialmente alla questione, ribadendo che si tratta di una vulnerabilità legata al sistema di pagamento di Visa, ma definendo comunque lo scenario come “qualcosa che difficilmente si verificherà nel mondo reale”. Dal canto suo, Visa ha rassicurato gli utenti, affermando che:
“Questo è un problema del sistema Visa, ma Visa non crede che questo tipo di frode possa verificarsi nel mondo reale. Visa ha chiarito che i propri titolari di carta sono protetti dalla politica di responsabilità zero di Visa”.
Nonostante la spettacolarità della dimostrazione, la possibilità di subire un attacco del genere nella vita di tutti i giorni rimane minima, vista la necessità di trasportare hardware ingombrante a pochi centimetri dalla vittima per diversi secondi.
Tuttavia, per chi desidera la massima tranquillità, i ricercatori consigliano di non utilizzare una carta Visa come metodo predefinito per la modalità Carta rapida trasporti su iPhone.
Leggi o Aggiungi Commenti