¿Almacenar su tarjeta corporativa en un iPhone? UH oh

Apple y Google (y especialmente Visa) la semana pasada nos dieron otro ejemplo de cómo la seguridad y la comodidad a menudo están en desacuerdo entre sí. Y parece que optaron por la conveniencia.

El último número habla solo de un subconjunto de usuarios de iPhone y Android, específicamente, aquellos que usan sus teléfonos para pagos de transporte masivo. Si piensa en cómo funcionan los metros en una ciudad importante (usaré la ciudad de Nueva York como ejemplo), requieren una velocidad extrema. Usar el reconocimiento facial o ingresar un PIN justo antes de pagar para tomar el metro ralentizaría drásticamente la línea.

En lugar de permitir que la autenticación ocurra antes, digamos, tal vez dentro de los cinco minutos de una transacción, o acelerando el proceso a una fracción de segundo, Apple, Google y Visa aparentemente optaron por renunciar a cualquier autenticación significativa. (Nota: me estoy enfocando en Visa porque el agujero todavía existe. MasterCard y otros ya han reparado la falla).

Investigadores de seguridad en Tecnologías positivas probé los teléfonos y encontré el problema.

“Las fallas permiten a los atacantes realizar compras ilimitadas utilizando teléfonos inteligentes robados con esquemas de transporte expreso habilitados que no requieren desbloquear el dispositivo para realizar un pago”, Positivo dijo en un comunicado. “Hasta junio de 2021, las compras se pueden realizar en cualquier terminal PoS, no solo en el transporte público. En los iPhones, los pagos se pueden realizar incluso si la batería del teléfono está vacía. Antes de 2019, Apple Pay y Samsung Pay no permitían pagos a menos que el teléfono estuviera desbloqueado con una huella digital, una identificación facial o un código PIN. Pero hoy, se ha hecho posible mediante el uso de esquemas de transporte público o el modo Express Transit de Apple “.

Timur Yunosov, un investigador positivo, dijo en un entrevista que el riesgo aún existe, pero varía según la combinación de la marca de la tarjeta de pago (Visa, MasterCard, American Express, etc.) y el tipo de dispositivo.

“Si usa una tarjeta Visa en Apple Pay, cualquiera podría tomar su teléfono, incluso sin cobrar, ir a una tienda de lujo y comprar algo con su teléfono. Antes de junio de 2021, podría haber sucedido lo mismo con el par Samsung Pay / MasterCard ”, dijo Yunosov, quien habló la semana pasada en Black Hat Europa. “Pero en algún momento, solucionaron el problema en silencio. Google Pay está en mayor riesgo. Si la NFC está habilitada, alguien podría incluso clonar su tarjeta MasterCard en un corto período de tiempo y usarla más tarde para comprar productos. Incluso después de todos los cambios que realizó MasterCard, sigue siendo una posibilidad de fraude contra billeteras móviles perdidas (Apple, Samsung, Visa, MasterCard, AMEX), aunque requiere un equipo especial, como un POS modificado o acceso directo al flujo de transacciones. “

Dado que se trata de dispositivos robados, esto plantea una cuestión de TI difícil. Para muchas empresas, el protocolo de TI estándar cuando un dispositivo está etiquetado como “probablemente robado” es borrarlo de forma remota, lo que teóricamente elimina cualquier riesgo adicional. Pero es posible que eso no funcione si el teléfono no está conectado a Internet, está apagado o tiene la batería agotada.

“Si el teléfono está descargado, aún es posible usarlo para identificación. Por lo tanto, la información no se borrará del dispositivo. También depende si los mecanismos de borrado incluyen eliminar registros de los sistemas de seguridad (por ejemplo, una base de datos de dispositivos que pertenecen a los empleados), sería seguro “. Yunosov dijo. “De lo contrario, podría poner en riesgo todo el sistema. Hasta que veamos que estos sistemas se implementan en grandes empresas, todo esto es solo especulación “.

Hay algunas buenas noticias, aunque temporalmente, en teoría. Otros datos confidenciales del teléfono no deberían estar en riesgo. Y si lo es, un borrado remoto deberían resolver el problema, asumiendo que se puede establecer una conexión de borrado remota adecuada.

Pero, como señaló Yunosov, esta falla puede empeorar mucho. Apple está preparando una serie de nuevos “servicios adicionales de valor”, como formas de acceder a edificios seguros. Para mayor rapidez y conveniencia, también podría utilizar el mismo proceso para los pagos de tránsito. Eso aumenta el universo de víctimas potenciales.

Otro tema clave: ¿Qué sucede si un ladrón realmente hace compras fraudulentas usando el teléfono? Demostrar que los cargos son fraudulentos puede resultar complicado. “Sería extremadamente difícil demostrarle a su banco emisor que no pagó por estas cosas y que el teléfono no fue desbloqueado con su huella digital o PIN”, dijo Yunosov.

Algunas victimas podría tenga suerte si hay una cámara de seguridad filmando a la persona que realiza la compra o si la víctima puede demostrar que estaba en otro lugar en el momento del robo.

Parece que Apple podría aprovechar el Apple Watch aquí. ¿Qué pasa si su Apple Watch observa constantemente qué tan lejos está del iPhone? ¿Y si, a una distancia predeterminada, el reloj permitiera al usuario desactivar el teléfono, ya sea de forma temporal o permanente? Es importante darle al usuario la opción de deshabilitar temporalmente; ahí es donde entra en juego la diferencia entre un teléfono perdido y un teléfono robado.

El reloj también podría decirle al usuario exactamente dónde parece estar el teléfono, o al menos dónde estaba la última vez que se detectó. Esa información ayudaría al usuario a determinar si el teléfono simplemente se extravió o si es probable que se lo hayan robado.

Como mínimo, Apple, Google y las instituciones financieras deben recordar que la conveniencia no debe ser a costa de la seguridad. Porque ralentizar la línea del metro puede ser un inconveniente, pero lidiar con el fraude y el robo es peor.