Un agujero de seguridad de los pagos sin contacto de Apple ha permitido a unos investigadores desarrollar un timo que les permite cobrar sin límite a los usuarios de Apple que usan su app de pagos.
Los esfuerzos de las compañías tecnológicas por hacernos la vida más sencilla y cómoda a veces trae consecuencias devastadoras. Pese a que no haya intención. Porque hecha la ley, hecha la trampa.
Esto, que puede sonar a dicho vacío, es lo que está ocurriendo con los pagos contacless de la aplicación de compra Apple Pay. O así nos lo han hecho saber un grupo de expertos en seguridad que acaban de publicar un informe al respecto.
La investigación ha revelado que con un iPhone robado y desbloqueado se pueden pagar miles de euros en bienes y servicios sin necesidad de desbloquear el teléfono, tan sólo se necesita tenerlo encendido y nada más.
Lo expertos explican que el problema se debe a vulnerabilidades no parcheadas de Apple Pay y de Visa, ya que es en la unión de estos dos servicios donde ocurre el fallo de seguridad.
Según el informe, la brecha se da en los iPhone que tienen una tarjeta Visa configurada en el modo Express Transit, el cual permite a los viajeros de todo el mundo, incluidos los que viajan en el metro de Nueva York, Chicago o Londres, tocar con sus teléfonos en un lector para pagar los billetes sin desbloquear sus dispositivos.
Este ataque es posible gracias a una combinación de fallos tanto en los sistemas de Apple Pay como en los de Visa, y fuero notificados a mitad de 2020 a Apple y durante este año a Visa, si bien no han llegado a un acuerdo para solucionar el problema (Visa dice que es imposible explotar el fallo).
Los investigadores afirman que la forma más sencilla de protegerse es quitando el modo Express Transit de la Visa en su Apple Pay. Si no, tan sólo tienen que borrar el dispositivo de forma remota en caso de pérdida o robo. El fallo, por cierto, no afecta a otros tipos de tarjetas o sistemas de pago.