08 Febbraio 2022
Un gruppo di ricercatori delle Università di Birmingham e del Surrey ha portato alla luce un problema di sicurezza che potrebbe causare delle transazioni contactless fraudolente. Protagonisti le carte di pagamento Visa ed Apple Pay limitatamente alla modalità Carta rapida trasporti, quella che la Mela ha introdotto per pagare rapidamente i servizi di trasporto pubblico attraverso una carta di credito, di debito o prepagata, o ancora una carta trasporti.
Un problema che per il momento ci riguarda solo in maniera marginale, visto che la modalità Carta rapida di Apple Pay in Italia è sì disponibile ma non è al momento supportata da nessuna delle aziende di trasporto pubblico italiane, quindi non può essere attivata. Potrebbe riguardarci in futuro, se Visa (più che Apple) non fosse già intervenuta per far rientrare l'allarme nel momento in cui dovesse arrivare il supporto da qualche azienda locale, e comunque il problema è già arrivato all'attenzione di Visa e di Apple, che non sembrano parecchio preoccupate.
Per farla breve, il team è riuscito, senza alcun ostacolo da parte dei sistemi di autenticazione, ad addebitare dei pagamenti sulle carte Visa semplicemente "mascherando" un dispositivo di pagamento attraverso un codice univoco specifico, per l'esattezza il medesimo (si chiama magic byte) che viene trasmesso dai varchi o dai tornelli di accesso al trasporto pubblico e che in sostanza funge da input affinché iPhone paghi la corsa con Apple Pay. L'anomalia, sottolineano, riguarda solo la modalità Carta rapida di Apple Pay e limitatamente alle carte del circuito Visa.
La modalità Carta rapida di Apple Pay è stata pensata per i pendolari, ai quali offre la possibilità di autenticare il pagamento delle corse senza passare da Face ID, Touch ID o dal codice di sblocco. I rischi però di essere vittime di frodi attraverso questo sistema sarebbero davvero bassi, e a sottolinearlo prima ancora di Visa e di Apple sono i ricercatori stessi. L'escamotage, dicono, sarebbe poco pratico da applicare su ampia scala, e comunque banche e istituti finanziari eseguono diversi check per rilevare le frodi come quella simulata dai ricercatori, per cui un tentativo "reale" andrebbe difficilmente in porto.
APPLE E VISA NON SEMBRANO PREOCCUPATE
I ricercatori hanno comunque rimesso la vicenda nelle mani di Apple a ottobre 2020, e poi in quelle di Visa lo scorso maggio. Entrambe le aziende hanno rilasciato delle dichiarazioni ai colleghi di zdnet.com.
Le carte Visa autorizzate per la modalità Carta rapida di Apple Pay sono sicure e possono continuare ad essere utilizzate con fiducia. I diversi sistemi di frode che sfruttano la tecnologia contactless sono studiati da oltre un decennio: in laboratorio appaiono efficaci, ma poi nel mondo reale si dimostrano poco pratiche da applicare in modo sistematico.
Questa la dichiarazione di Visa, dalla quale manca l'unica rassicurazione che chi utilizza la modalità Carta rapida con una di Visa probabilmente avrebbe voluto sentire. La dà Apple.
È una questione che riguarda Visa, la quale dubita che questa tipologia di frode possa aver luogo nel mondo reale alla luce del sistema di sicurezza su più livelli che applicano. Ma nella remota ipotesi che si verificasse un pagamento non autorizzato, Visa ha ribadito che i titolari di una carta sono protetti dalla Politica Zero Liability (che prevede il rimborso per eventuali transazioni non autorizzate, ndr).
Commenti
Ah allora persone che conosco bene si sono trovati prelievi multipli in pochi istanti non autorizzati per puro caso.
Ma non é vero. Mai successo nella storia dell'uomo perché il truffatore é rintracciabile proprio per via del pos
la truffa dei pagamenti multipli sotto i 25 mentre sei in un posto affollato esiste eccome. Solo che basta bloccare tutto appena l'app della banca ti notifica questi pagamenti.
O non esistono proprio in certi paesi.
Cosa sono i documenti?!
Queste presunte truffe fantasiose richiedono un Pos e nessun ladro se ne doterebbe. Ormai questa leggenda dei furti contactless é alla pari del coccodrillo nelle fogne di NY
Tutti, sì fa schifo
Bigottismo 2.0
Cosa sono le Carte?
stai ancora riflettendo sulla qualità dei display apple e le trollaggini che spari ? Comunque Apple Pay è il metodo di pagamento conctatless più utilizzato in molti stati come gli USA.
Yes, non è obbligatorio. Se devo andare al supermercato a 1km da casa porto solo il telefono per esempio
direttamente dal medioevo: romanrex
Apple Pay è il mezzo di pagamento più sicuro genio.
vai in giro senza documenti?
Secondo me è pazzo chi ancora va in giro con la carta ...
è la stessa feature che permette di usare il telefono come chiave della macchina anche con la batteria scarica o di aprire la porta se la serratura è compatibile
Ah ok più chiaro adesso, interessante soprattutto per la questione smartphone scarico.
Presente, la uso quasi ogni giorno
Si Si parlavo di una funzione specifica, non facevo un discorso in generale
Ho capito, ti riferivi alla "carta rapida trasporti" che è il nome di una funzionalità all'interno del mondo iOS. Credevo parlassi di pagamenti rapidi per i trasporti in generale, come lo è appunto già oggi il contactless.
però solo nelle metro, nei normali tram e autobus no che sarebbe invece una cosa comodissima
porto solo il telefono senza portare in giro il portafoglio, quale sarebbe la scomodità?
Quello di cui si parla nell'articolo...
Il pagamento rapido differisce da un classico pagamento tramite contactless dal fatto che non hai bisogno di autenticare il pagamento (e infatti va anche tramite carte che non sono per forza di cose su un classico circuito) e puoi pagare in ogni condizione, anche se il telefono è scarico.
"lo è già" non direi, qua si parla di una specifica feature che viene chiamata "carte per i mezzi di trasporto", se vai su impostazioni/wallet e scendi trovi la sezione in cui puoi decidere di selezionale una carta per i "trasporti rapidi"
https://support.apple.com/it-it/HT209495Quello di cui si parla nell'articolo, una feature per ora non presente in Italia che permette di usare il telefono come se fosse un biglietto vero e proprio, quindi nessuna autenticazione al tornelli: avvicini il telefono e via.
Con aggiunta la possibilità di pagare il biglietto anche se il teelfono è scarico
Ti spiacerebbe descrivere cosa intendi per pagamento rapido?
Perché, per inciso, lo è già il pagamento contactless, così come il trasferimento di denaro PayPal, Satispay, Telepass Pay, Sisal pay....
Allora non mi è chiaro cosa si intenda per pagamenti rapidi in questo contesto...
A Milano sì, sempre con la carta al tornello di uscita.
E io cosa ho detto? Si può già fare in Emilia Romagna, ma non è quello di cui stavo parlando, in Italia ancora non ci sono i pagamenti rapidi
Oh raga secondo me vi siete persi qualcosa negli ultimi mesi. Faccio l'esempio della mia città a Parma entri nel Bus e passi direttamente la carta senza fare baglietti, non è una prerogativa di Milano e Torino
Ma si deve fare anche il check-out all'uscita dal mezzo/metro?
Tutti quelli che lo conoscono e hanno un minimo di manualità. La carta e il bancomat me lo rubano, il telefono con le carte, anche se lo rubano, non lo possono usare.
Genio.
Ma è stupido? Motiva no…
Esatto, carta o tell con Apple google pay
Perché sei negativo contro Apple Pay?
E' più comodo, è più sicuro, non costa nulla.
Pazzo a non avvantaggiarsene piuttosto
Si, infatti. Beata ignoranza.
Più sicuro e rapido (datoche non serve digitare il pin e che così facendo non può neppure essere copiato/visto)
Non hai capito,
Passi proprio dal tornello appoggiando la carta sul lettore, senza fare nessun biglietto.
Apple pay cosi come Google pay creano un numero di conto virtuale al momento del pagamento viene condiviso quest'ultimo e non il numero reale. è più sicuro pagare con queste soluzione piuttosto che uscire la carta.
Anche qua in Emilia Romagna ormai quasi tutti i capoluoghi si sono attrezzati per pagare in contactless, ma si sta parlando di un’altra cosa.
Nella metro di Milano e sui bus di Torino è un po' che puoi pagare con la carta contactless direttamente al tornello
Per uscirla devi avercela dietro..
ma chi è il pazzo che usa apple pay e simili? vi fa cosi schifo uscire la carta?
Chissà quando estenderanno i pagamenti rapidi per i trasporti anche in Italia.