¿Almacenar su tarjeta corporativa en un iPhone? UH oh

Apple y Google (y especialmente Visa) la semana pasada nos dieron otro ejemplo de cómo la seguridad y la comodidad a menudo están en desacuerdo entre sí. Y parece que optaron por la conveniencia.

El último número habla solo de un subconjunto de usuarios de iPhone y Android, específicamente, aquellos que usan sus teléfonos para pagos de transporte masivo. Si piensa en cómo funcionan los metros en una ciudad importante (usaré la ciudad de Nueva York como ejemplo), requieren una velocidad extrema. Usar el reconocimiento facial o ingresar un PIN justo antes de pagar para tomar el metro ralentizaría drásticamente la línea.

En lugar de permitir que la autenticación ocurra antes, digamos, tal vez dentro de los cinco minutos de una transacción, o acelerando el proceso a una fracción de segundo, Apple, Google y Visa aparentemente optaron por renunciar a cualquier autenticación significativa. (Nota: me estoy enfocando en Visa porque el agujero todavía existe. MasterCard y otros ya han reparado la falla).

Investigadores de seguridad en Tecnologías positivas probé los teléfonos y encontré el problema.

«Las fallas permiten a los atacantes realizar compras ilimitadas utilizando teléfonos inteligentes robados con esquemas de transporte expreso habilitados que no requieren desbloquear el dispositivo para realizar un pago», Positivo dijo en un comunicado. “Hasta junio de 2021, las compras se pueden realizar en cualquier terminal PoS, no solo en el transporte público. En los iPhones, los pagos se pueden realizar incluso si la batería del teléfono está vacía. Antes de 2019, Apple Pay y Samsung Pay no permitían pagos a menos que el teléfono estuviera desbloqueado con una huella digital, una identificación facial o un código PIN. Pero hoy, se ha hecho posible mediante el uso de esquemas de transporte público o el modo Express Transit de Apple «.

Timur Yunosov, un investigador positivo, dijo en un entrevista que el riesgo aún existe, pero varía según la combinación de la marca de la tarjeta de pago (Visa, MasterCard, American Express, etc.) y el tipo de dispositivo.

Copyright © 2021 IDG Communications, Inc.