Timur Yunosov, un ricercatore russo che si occupa di sicurezza informatica ha scoperto un modo per prosciugare i conti bancari semplicemente toccando il dispositivo su un terminale.
Fortunatamente, Yunosov è un hacker benevolo e ha voluto solo dimostrare le vulnerabilità note di una funzione di Apple Pay che consente alle persone di pagare con il telefono senza sbloccare il telefono. Per questo i possessori di conti BNL, San Paolo e Fineco devono stare molto attenti. Ma la lista è infinita.
A settembre del 2022, i ricercatori delle università di Birmingham e Surrey hanno scovato lo stesso comportamento dimostrato da Yunosov. Avevano trovato un modo per indurre un telefono a consentire di effettuare pagamenti ad un tornello ferroviario, quando in realtà potevano essere utilizzati su qualsiasi tipo di terminale di vendita al dettaglio o su uno controllato da un hacker che poteva incanalare denaro direttamente in un conto creato appositamente.
Il ricercatore russo di sicurezza informatica un anno fa ha infatti messo in guardia su un hack che avviene tramite Apple Pay
e Samsung Pay, e che è stato lasciato senza protezione per mesi e potrebbe consentire ai ladri di prosciugare i portafogli delle persone.Yunosov non ha solo mostrato cosa si poteva fare su un dispositivo Apple, ma ha anche mostrato a Forbes un attacco ad un telefono Samsung. Anche se un po’ più complesso, è riuscito ad usare la funzione tap-and-go per prosciugare dei fondi senza bisogno di sbloccarlo. Non è lo stesso che avviene su Apple, ma potrebbe funzionare altrettanto facilmente in un negozio, con un cosiddetto dispositivo “man-in-the-middle” che consentirebbe di utilizzare un dispositivo bloccato su un normale terminale di pagamento.
Per i criminali c’è l’ulteriore vantaggio che la funzione continua a funzionare anche quando un telefono ha esaurito la batteria e si è spento. “Se usi una carta Visa su Apple Pay, chiunque potrebbe prendere il tuo telefono, anche scarico, andare in un negozio di lusso e comprare qualcosa con il tuo telefono“, ha spiegato in seguito Yunosov tramite messaggi online. E non c’è limite a quanto potrebbe essere trasferito.