ALLERTA PERICOLI INFORMATICI Podcast articoli da ascoltare

PERICOLO CONTACTLESS PER GLI IPHONE : gli hacker possono aggirare la schermata di blocco di Apple Pay e pagare illegalmente anche se il dispositivo è nella borsa

PERICOLO CONTACTLESS PER GLI IPHONE : gli hacker possono aggirare la schermata di blocco di Apple Pay e pagare illegalmente anche se il dispositivo è nella borsa
Written by gestore

Allerta Pericoli Informatici sui Social :
allerta pericoli informatici su facebookallerta pericoli informatici su linkedinallerta pericoli informatici su twitterallerta pericoli informatici su pinterestallerta pericoli informatici su itunes podcast allerta pericoli informatici su telegramallerta pericoli informatici su google newsallerta pericoli informatici su flickr

APP 1 : Allerta Pericoli Informatici
Google Play
Apple Store
APP 2 : AiutamiSi ( tanti servizi gratuiti )
Google Play
Apple Store

I difetti di Apple Pay (se la modalità “Express Travel” è attivata) e Visa, potrebbero consentire ai criminali di effettuare pagamenti contactless arbitrari: nessuna autenticazione necessaria, secondo una recente ricerca.

I criminali informatici potrebbero effettuare acquisti fraudolenti eludendo la schermata di blocco di Apple Pay di un iPhone in cui il portafoglio del dispositivo ha una carta Visa impostata nella cosiddetta modalità di transito. Gli aggressori potrebbero anche aggirare il limite contactless per effettuare transazioni illimitate da iPhone bloccati, hanno dimostrato i ricercatori dell’Università di Birmingham e dell’Università del Surrey.

Intermezzo promozionale ... continua la lettura dopo il box:

Il documento di ricerca, soprannominato ” Pratical EMV Relay Protection “, delinea come un utente malintenzionato potrebbe abusare di una combinazione di difetti in Apple Pay e Visa, spiegando che tutto ciò di cui avrebbe bisogno per eseguire un attacco è un iPhone acceso rubato. Le transazioni illecite potrebbero essere trasmesse anche se il dispositivo è nel bagaglio della vittima.

Quando effettua un pagamento tramite un’app per smartphone, l’utente di solito deve autenticare la transazione utilizzando una delle funzionalità di autenticazione biometrica integrate dell’iPhone, come una scansione dell’impronta digitale o Face ID, o inserire un codice PIN, riducendo la minaccia di inoltro attacchi. Tuttavia, a maggio 2019 Apple ha introdotto la funzione “Express Transit/Travel” che consente di utilizzare Apple Pay senza sbloccare il telefono. La funzione è stata introdotta per facilitare il pagamento alle stazioni di sbarramento per i biglietti dei trasporti.

“Mostriamo che questa funzione può essere sfruttata per aggirare la schermata di blocco di Apple Pay e pagare illegalmente da un iPhone bloccato, utilizzando una carta Visa, a qualsiasi lettore EMV, per qualsiasi importo, senza l’autorizzazione dell’utente”, si legge nel documento che descrive l’attacco. 

L’attacco, classificato come attacco replay e relay Man-in-the-Middle (MitM), richiede che l’iPhone disponga di una carta Visa configurata per il pagamento con la modalità “Express Travel” attivata e che la vittima sia in stretta vicinanze dell’attaccante. Per condurre il test, i ricercatori hanno utilizzato un Proxmark che fungeva da emulatore di lettore e un telefono Android abilitato NFC che veniva utilizzato come emulatore di carte per comunicare con il terminale di pagamento.

“L’attacco funziona riproducendo prima  i  Magic Bytes  sull’iPhone, in modo che creda che la transazione stia avvenendo con un lettore EMV di trasporto. In secondo luogo, durante l’inoltro  dei messaggi EMV, i Terminal Transaction Qualifiers (TTQ), inviati dal terminale EMV, devono essere modificati in modo tale che  siano impostati i bit (flag) per l’autenticazione dati offline (ODA) per le autorizzazioni online supportate  e la  modalità EMV supportata “, hanno detto i ricercatori.

Per inoltrare le transazioni che superano il limite di pagamento senza contatto, è necessario modificare i Card Transaction Qualifier (CTQ) incaricati di impostare i limiti di transazione.

“Questo induce il lettore EMV a credere che sia stata eseguita l’autenticazione dell’utente sul dispositivo (ad esempio tramite impronta digitale). Il valore CTQ appare in  due  messaggi inviati dall’iPhone e  deve  essere modificato in entrambe le occorrenze”, hanno spiegato i ricercatori. Durante il loro test, il team è stato in grado di effettuare una transazione di £ 1.000 (circa 1.400 dollari USA).

Utilizzando un paio di telefoni Android abilitati NFC, il team di ricerca è stato anche in grado di eludere il protocollo Visa utilizzato per bloccare gli attacchi di inoltro per le carte di pagamento.

Sia Apple che Visa sono state informate della falla di sicurezza dai ricercatori e, sebbene entrambe le società abbiano riconosciuto la gravità della vulnerabilità, devono ancora raggiungere un accordo su quale delle società dovrebbe implementare una soluzione per il problema. Nel frattempo, si consiglia agli utenti di non utilizzare le carte Visa “in the transport card mode” durante l’utilizzo di Apple Pay.

Fonte : https://www-welivesecurity-com

Rss Feeds:

Pubblica anteprima dei nostri articoli sul tuo sito :

  Inserisci questo codice per mostrare anteprima dei nostri articoli nel tuo sito e proteggi i tuoi navigatori dai rischi informatici

Alcuni dei Nostri Servizi più richiesti :

Copia Autentica Pagina Web

Copia Autentica Pagina Web

Il nostro studio fornisce un servizio professionale di autenticazione o copia conforme con valore legale di una pagina web o di una pagina di un social network per ogni tipo di contenuto ( testi, immagini, commenti, video, audio, tag ... ) che viene acquisito in modalità forense.

MONITORAGGIO DELLA REPUTAZIONE ONLINE PERSONALE E AZIENDALE

La nostra società è in grado di offrirvi il Migliore Servizio di Monitoraggio sul web per tutelare la vostra reputazione personale e/o aziendale.

Denuncia per diffamazione su internet o sui social

Il nostro studio fornisce un servizio professionale di supporto e raccolta di prove informatiche con valore legale per effettuare una denuncia per diffamazione su internet o sui social network

Estorsione o ricatto sessuale online : cosa fare e cosa non fare

Il nostro studio fornisce un servizio professionale con assistenza legale nei casi di estersione o ricatti online

Servizio professionale per la rimozione di recensioni negative

Il nostro studio fornisce un servizio professionale anche di supporto legale per la rimozioni di recensioni online negative, offensive o comunque inappropriate (recensioni negative su tripadvisor, google ...)

Certificazione Chat WhatsApp anche da Remoto

La certificazione di una chat WhatsApp che conferisce ad un messaggio ricevuto il valore di una prova legale, può essere eseguita anche da remoto da uno studio di informatica forense ( ricordiamo che uno screenshot non è ritenuto una prova valida ai fini legali ).