Apple Pay permite debitări neautorizate din dispozitive blocate - O vulnerabilitate în sistemul de plată contactless afectează utilizatorii, dar riscul este considerat scăzut

O vulnerabilitate din modul „ Express Transit ” al Apple Pay poate permite debitări de pe un iPhone blocat , însă riscul practic pentru utilizatori rămâne redus, în special din cauza condițiilor greu de îndeplinit, potrivit WinFuture . Problema vizează funcția Apple Pay „Express Transit” pentru transportul public, concepută să permită plata rapidă la turnicheți fără autentificare (fără Face ID sau cod PIN), pentru a nu încetini fluxul de călători. În scenariul descris, atacatorii folosesc un cititor NFC modificat care interceptează comunicarea dintre telefon și terminal, apoi redirecționează datele către un al doilea dispozitiv care execută tranzacția la un terminal real. În paralel, cititorul „păcălește” iPhone-ul că se află la un turnichet de transport public, ceea ce menține ocolirea autentificării. De ce contează: ocolirea autentificării, dar doar într-un caz îngust Demonstrația a fost prezentată de canalul Veritasium într-un clip pe YouTube, în care, într-un cadru de test, s-a reușit transferul a 10.000 de dolari (aprox. 46.000 lei) de pe telefonul blocat al lui Marques Brownlee. Totuși, materialul subliniază că pentru un atac reușit trebuie să se alinieze circumstanțe „extrem de improbabile”. Condițiile menționate pentru ca frauda să funcționeze includ: în Apple Wallet să fie setată o card Visa pentru modul rapid (Express) în transportul public; atacul să implice contact fizic prelungit cu telefonul (nu este suficientă o atingere scurtă, de tip „trecere pe lângă buzunar”); existența unui complice care să opereze simultan un terminal real de plată. În plus, metoda nu ar funcționa cu alte scheme de plată, precum Mastercard sau American Express, deoarece folosesc protocoale de criptare diferite. Impact operațional: expunere mai ales pentru turiști, nu pentru utilizarea curentă din România/Germania WinFuture notează că sistemul nu este disponibil în prezent în Germania, însă turiștii care călătoresc în orașe mari precum Londra sau Paris ar putea intra în contact cu acest tip de plată la transportul public. Cu alte cuvinte, expunerea ține mai degrabă de contexte specifice (călătorii și infrastructură de transport compatibilă), nu de utilizarea zilnică generală a plăților contactless. O problemă veche, evaluată ca risc scăzut Vulnerabilitatea ar fi documentată în cercetarea de securitate IT încă din 2021, iar Apple și Visa ar fi analizat-o la acel moment, fără să o remedieze, pe motiv că relevanța practică este redusă. Visa evaluează probabilitatea acestui tip de fraudă ca fiind „extrem de mică”, iar în cazul unor debitări neautorizate ar urma să se aplice, conform companiei, politica de „zero răspundere”, cu rambursarea sumelor de regulă fără complicații, dacă incidentul este raportat la timp. [...]