Los investigadores de seguridad han descubierto una nueva vulnerabilidad con las tarjetas Visa que permite a los piratas informáticos retirar dinero de ellas cuando se configuran como la tarjeta predeterminada para Express Transit en Apple Pay (llamada Express Travel en el Reino Unido).
La función Express Transit en Apple Pay permite transacciones sin contacto para el transporte público, como el metro de Londres. Dado que los valores de las transacciones suelen ser pequeños y el límite de transacciones diarias está limitado, Express Transit no requiere que el usuario autentique las transacciones utilizando Face ID o Touch ID. Esto también ahorra tiempo y mejora la comodidad al entrar y salir en las puertas del tren.
En una demostración de la nueva vulnerabilidad compartida por The Telegraph, un pirata informático podría engañar a este sistema sin contacto para realizar transacciones arbitrarias y robar dinero de un iPhone bloqueado sin el conocimiento del usuario. Sin embargo, para que esto funcione, el pirata informático debe estar en posesión física o cerca del dispositivo de la víctima.
Los investigadores demostraron que al imitar una señal de una terminal de transporte público, el iPhone de la víctima podría verse obligado a pagarle al pirata informático. Sin embargo, los investigadores de seguridad que demostraron esta vulnerabilidad también pudieron evitar el límite del valor máximo de las transacciones y pudieron procesar un pago de £ 1,000, todo sin requerir la autenticación de la víctima.
Apple señaló que la falla está en los sistemas de Visa. La compañía agregó que cualquier pago no autorizado estaría cubierto por la política de responsabilidad cero de Visa.
"Las tarjetas Visa conectadas a Apple Pay Express Transit son seguras y los titulares de tarjetas deben seguir usándolas con confianza", dijo un portavoz de Visa. Agregaron que las variaciones de los esquemas de fraude sin contacto se han estudiado en entornos de laboratorio durante más de una década y han "demostrado ser poco prácticos para ejecutar a escala en el mundo real". El portavoz de Visa afirmó que el descubrimiento de la vulnerabilidad no significaba que las personas estuvieran en riesgo.
Aunque Apple está pasando la culpa a Visa y Visa cree que los clientes aún están seguros, el exploit es específico de las tarjetas Visa establecidas como el predeterminado para Express Transit en Apple Pay. Emparejar una tarjeta MasterCard o American Express con Express Transit no pone en riesgo al usuario.
Image – iphonehacks