Timur Yunosov, un ricercatore russo che si occupa di sicurezza informatica ha scoperto un modo per prosciugare i conti bancari semplicemente toccando il dispositivo su un terminale.
Fortunatamente, Yunosov è un hacker benevolo e ha voluto solo dimostrare le vulnerabilità note di una funzione di Apple Pay che consente alle persone di pagare con il telefono senza sbloccare il telefono. Per questo i possessori di conti BNL, San Paolo e Fineco devono stare molto attenti. Ma la lista è infinita.
A settembre del 2022, i ricercatori delle università di Birmingham e Surrey hanno scovato lo stesso comportamento dimostrato da Yunosov. Avevano trovato un modo per indurre un telefono a consentire di effettuare pagamenti ad un tornello ferroviario, quando in realtà potevano essere utilizzati su qualsiasi tipo di terminale di vendita al dettaglio o su uno controllato da un hacker che poteva incanalare denaro direttamente in un conto creato appositamente.
Un problema che si applica a qualsiasi banca
Il ricercatore russo di sicurezza informatica un anno fa ha infatti messo in guardia su un hack che avviene tramite Apple Pay e Samsung Pay, e che è stato lasciato senza protezione per mesi e potrebbe consentire ai ladri di prosciugare i portafogli delle persone.
Yunosov non ha solo mostrato cosa si poteva fare su un dispositivo Apple, ma ha anche mostrato a Forbes un attacco ad un telefono Samsung. Anche se un po’ più complesso, è riuscito ad usare la funzione tap-and-go per prosciugare dei fondi senza bisogno di sbloccarlo. Non è lo stesso che avviene su Apple, ma potrebbe funzionare altrettanto facilmente in un negozio, con un cosiddetto dispositivo “man-in-the-middle” che consentirebbe di utilizzare un dispositivo bloccato su un normale terminale di pagamento.
Per i criminali c’è l’ulteriore vantaggio che la funzione continua a funzionare anche quando un telefono ha esaurito la batteria e si è spento. “Se usi una carta Visa su Apple Pay, chiunque potrebbe prendere il tuo telefono, anche scarico, andare in un negozio di lusso e comprare qualcosa con il tuo telefono“, ha spiegato in seguito Yunosov tramite messaggi online. E non c’è limite a quanto potrebbe essere trasferito.