Apple y Google (y en particular Visa) la semana pasada nos dieron otro ejemplo de cómo la seguridad y la conveniencia a menudo entran en conflicto entre sí. Y parece que se han ido por conveniencia.

Los últimos problemas son solo para un subconjunto de usuarios de iPhone y Android, especialmente aquellos que usan sus teléfonos para pagos en tránsito. Si piensas en cómo funcionan los subterráneos en una gran ciudad (tomaré Nueva York como ejemplo), requieren una velocidad extrema. Usar el reconocimiento facial o ingresar un código PIN justo antes de pagar para subir al metro ralentizaría significativamente la cola.

En lugar de permitir la autenticación antes, digamos, tal vez dentro de los cinco minutos posteriores a una transacción, o acelerar el proceso a una fracción de segundo, Apple, Google y Visa aparentemente han optado por renunciar a cualquier autenticación significativa. (Nota: me estoy enfocando en Visa porque el agujero todavía existe para eso. MasterCard y otros ya han solucionado el defecto).

Los investigadores de seguridad de Positive Technologies probaron los teléfonos y encontraron el problema.

«Las lagunas legales permiten a los atacantes realizar compras ilimitadas utilizando teléfonos inteligentes robados con sistemas de transporte expreso activados que no requieren desbloquear el dispositivo para realizar un pago», dijo Positive en un comunicado. “Hasta junio de 2021, las compras se podían realizar en cualquier terminal PoS, no solo en transporte público. En los iPhones, los pagos se pueden realizar incluso si la batería del teléfono está vacía. Antes de 2019, Apple Pay y Samsung Pay solo permitían pagos si el teléfono estaba desbloqueado con una huella digital, identificación facial o PIN. Pero hoy, es posible utilizar el transporte público o el modo Express Transit de Apple.

Timur Yunosov, investigador de Positive, dijo en una entrevista que el riesgo aún existe, pero varía según la combinación de la marca de la tarjeta de pago (Visa, MasterCard, American Express, etc.) y el tipo de dispositivo.

“Si usa una tarjeta Visa en Apple Pay, cualquiera puede tomar su teléfono, incluso sin cargo, ir a una tienda de lujo y comprar algo con su teléfono. Antes de junio de 2021, podría haber sucedido lo mismo con el par Samsung Pay / MasterCard ”, dijo Yunosov, quien habló en Black Hat Europe la semana pasada. “Pero en un momento, resolvieron el problema en silencio. Google Pay es el que corre mayor riesgo. Si NFC está habilitado, alguien podría incluso clonar su MasterCard en un corto período de tiempo y usarla más tarde para comprar bienes. Incluso después de todos los cambios realizados por MasterCard, todavía existe la posibilidad de fraude contra billeteras móviles perdidas (Apple, Samsung, Visa, MasterCard, AMEX), aunque esto requiere un equipo especial, como un punto de venta modificado o acceso directo a la flujo de transacciones. «

Dado que se trata de dispositivos robados, esto plantea una cuestión de TI difícil. Para muchas empresas, el protocolo informático estándar cuando un dispositivo se etiqueta como «probablemente robado» es borrarlo de forma remota, lo que teóricamente elimina cualquier riesgo adicional. Pero es posible que no funcione si el teléfono no está conectado a Internet, está apagado o tiene la batería descargada.

“Si el teléfono no está cargado, aún es posible usarlo para identificarse. Por lo tanto, la información no se borrará del dispositivo. También depende de si los mecanismos de borrado incluyen borrar registros de los sistemas de seguridad (por ejemplo, una base de datos de dispositivos propiedad de los empleados), eso sería seguro ”, dijo Yunosov. “De lo contrario, podría poner en riesgo todo el sistema. Hasta que veamos que estos sistemas se implementan en grandes empresas, todo esto es solo especulación. «

Hay buenas noticias, aunque temporalmente, en teoría. Otros datos confidenciales del teléfono no deberían estar en riesgo. Y si es así, una limpieza remota debería resolver el problema, suponiendo que se pueda realizar una conexión de limpieza remota adecuada.

Pero, como señaló Yunosov, este defecto puede empeorar. Apple está preparando una serie de nuevos «servicios de valor agregado», como los medios para acceder a edificios seguros. Para mayor rapidez y conveniencia, también puede utilizar el mismo proceso para los pagos de tránsito. Esto aumenta el universo de víctimas potenciales.

Otro tema clave: ¿Qué pasa si un ladrón realiza compras fraudulentas usando el teléfono? Demostrar que los cargos son fraudulentos puede ser complicado. “Sería extremadamente difícil demostrarle a su banco emisor que no ha pagado por estas cosas y que el teléfono no ha sido desbloqueado con su huella digital o PIN”, dijo Yunosov.

Algunas víctimas pueden tener suerte si una cámara de seguridad captura a la persona que realiza la compra o si la víctima puede demostrar que estaba en otro lugar en el momento del robo.

Parece que Apple puede aprovechar el Apple Watch aquí. ¿Qué pasa si su Apple Watch observa constantemente qué tan lejos está del iPhone? ¿Qué pasaría si, a una distancia predeterminada, el reloj permitiera al usuario desactivar el teléfono, de forma temporal o permanente? Es importante darle al usuario la opción de desactivar temporalmente; aquí es donde entra la diferencia entre un teléfono perdido y un teléfono robado.

El reloj también podría decirle al usuario exactamente dónde parece estar el teléfono, o al menos dónde estaba cuando se detectó por última vez. Esta información ayudaría al usuario a determinar si el teléfono simplemente se extravió o si es probable que haya sido robado.

Como mínimo, Apple, Google y las instituciones financieras deben recordar que la conveniencia no debe ser a expensas de la seguridad. Porque ralentizar la línea del metro puede ser molesto, pero lidiar con el fraude y el robo es peor.

Copyright © 2021 IDG Communications, Inc.

Share This