SOFTWARE

Investigador de seguridad: las fallas de Apple Pay, Samsung Pay y Google Pay facilitan el fraude para los ladrones

0 0 4 minutos de lectura
Investigador de seguridad: las fallas de Apple Pay, Samsung Pay y Google Pay facilitan el fraude para los ladrones
istock 654100072
Imagen: iStockphoto/ipopba

Un experto en seguridad dice que el equilibrio entre los pagos manos libres y los estándares de seguridad necesarios para proteger esas transacciones se ha inclinado demasiado en la dirección equivocada.

En la conferencia Black Hat Europe 2023 de esta semana, Timur Yunusov, experto sénior en seguridad de Positive Technologies, explica las fallas en las aplicaciones de pago sin contacto que podrían conducir al fraude al usar teléfonos perdidos o robados. Yunusov se centra en la seguridad de pagos y aplicaciones.

La clave de este fraude, según Yunusov, es la comodidad de pagar los billetes de metro y autobús sin desbloquear el teléfono. Los usuarios de EE. UU., Reino Unido, China y Japón pueden agregar tarjetas de pago a los teléfonos inteligentes y activarlas como tarjetas de tránsito.

«Para llevar a cabo el ataque, se debe registrar un teléfono inteligente con Samsung Pay y Apple Pay en estos países, pero las tarjetas se pueden emitir en cualquier otra región», dijo Yunusov. «Los teléfonos robados también se pueden usar en cualquier lugar, al igual que Google Pay».

Yunusov y otros investigadores de Positive Technologies probaron una variedad de pagos para ver cuánto dinero se podía gastar en una sola transacción de esta manera. Se detienen en 101 libras. Según los investigadores, «incluso con los últimos modelos de iPhone, podemos realizar pagos en cualquier terminal de punto de venta, incluso si la batería del teléfono está agotada», siempre que el teléfono pague con una tarjeta Visa y tenga habilitado el modo Express Transit.

LEER  Cómo elegir la edición de G Suite adecuada para su negocio

Mirar: Licencias de conducir digitales: ¿Son lo suficientemente seguras como para ser confiables?

Positive Technologies se adhiere a los principios de divulgación responsable, lo que significa ponerse en contacto con los fabricantes de software para obtener información sobre los riesgos de seguridad antes de que las vulnerabilidades se hagan públicas. Si el fabricante no responde por escrito dentro de los 90 días, los investigadores de seguridad se reservan el derecho de publicar los hallazgos sin mencionar información que permitiría a los malos actores explotar las vulnerabilidades descubiertas.

Positive Technologies dijo que Apple, Google y Samsung fueron notificados de la vulnerabilidad detectada en marzo, enero y abril de 2023, respectivamente. Según Positive Technologies, las empresas dijeron que no planeaban realizar ningún cambio en sus sistemas, pero pidieron permiso para compartir hallazgos e informes con los sistemas de pago. La firma de seguridad también dijo que sus investigadores contactaron a expertos técnicos en Visa y Mastercard, pero no recibieron respuesta.

Publicaciones relacionadas

Las tarjetas Visa pueden ser las más vulnerables

Yunusov dijo que la falta de autenticación de datos fuera de línea permite explotar la vulnerabilidad incluso si hay Especificaciones EMVCo cubrir estas transacciones.

«El único problema es que ahora las grandes empresas como MasterCard, Visa y AMEX no necesitan seguir estos estándares cuando hablamos de pagos NFC; esas empresas divergieron a principios de la década de 2010 y ahora todos están aquí para hacer lo que quieran. cosa», dijo.

Las aplicaciones Apple Pay, Google Pay y Samsung Pay son vulnerables a esta amenaza. Según Yunusov, parece haber una diferencia si una persona paga con una tarjeta Visa en lugar de una Mastercard o American Express.

«Mastercard considera que la ODA es una parte importante de su mecanismo de seguridad y se apegará a ella», dijo. «Por lo tanto, todas las terminales en todo el mundo que acepten tarjetas MC deberían hacer ODA y, si eso falla, rechazar las transacciones NFC».

Según Yunusov, quien provocó la infracción, Visa no utiliza esta verificación ODA en todas las terminales de punto de venta. Investigadores de la Universidad de Birmingham también describen esta falla en un artículo»,Práctica protección de relés EMV. «

En respuesta a la investigación, un portavoz de Visa dijo que las tarjetas Visa conectadas a billeteras móviles con capacidades de transferencia son seguras y que la mayoría de los esquemas de fraude sin contacto se han estudiado en entornos de laboratorio durante más de una década y han demostrado ser poco prácticos para la ejecución a gran escala. mundo real.

«Se utilizan múltiples capas de seguridad para proteger los pagos, y los consumidores se benefician de la garantía de responsabilidad cero de Visa», dijo el vocero. «Visa se toma en serio todas las amenazas de seguridad y está continuamente desarrollando sus capacidades de seguridad de pago para proteger a los titulares de tarjetas de las últimas amenazas del mundo real».

Corrección de errores en las aplicaciones de pago móvil

Los fabricantes de teléfonos y las empresas de pago deben trabajar juntos para abordar la vulnerabilidad, dijo Yunusov. De hecho, Apple y Samsung han transferido la responsabilidad a Visa y Mastercard, dijo, aunque el problema no es con los productos de la empresa de pagos.

“Las billeteras móviles están en su mejor momento: por un lado, (las empresas de pago) ganan dinero con las transacciones y promocionan sus productos”, dijo Yunusov. “Por otro lado, les dicen a los clientes que si hay algún fraude, se comuniquen con el emisor de la tarjeta para preguntar por qué permiten el pago”.

La solución, dijo Yunusov, es considerar el precio, el código de comerciante y el estado del teléfono de cada transacción. Así describe el proceso:

«Si el pago es de $0.00, el teléfono está bloqueado y el código MCC es transporte, entonces cuando alguien paga en el metro, es una transacción legítima. Pero si el pago es de $100, el teléfono está desbloqueado (puede verificarlo en el datos de transacción) recuperó esta información), mientras que MCC es un ‘supermercado’, lo cual es sospechoso ya que no debería ser posible que un cliente pague en un supermercado sin un teléfono desbloqueado».

Recomienda que los desarrolladores aborden estos problemas para mejorar la seguridad de las aplicaciones de pago móvil:

  • Problemas de autenticación y validación de campos de Apple Pay
  • Confusión de contraseñas AAC/ARQC
  • Falta de Validación de Campo de Cantidad para Planes de Transporte Público
  • Falta de verificación de integridad de campo de MCC
  • El pago de Google Pay no supera el límite de CVM

**Artículo actualizado el 15 de noviembre de 2023 con comentarios de Visa.

LEER  Cómo usar un archivo por lotes para hacer una copia de seguridad automática de los archivos al salir de Windows 10
0 0 4 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba