Timur Yunosov es un investigador de ciberseguridad ruso especializado en seguridad móvil y análisis de sistemas de pago. Trabajando para Positive Technologies, Yunosov demostró cómo explotar vulnerabilidades conocidas en Apple Pay para acceder a las cuentas bancarias de los usuarios afectados sin siquiera desbloquear sus smartphones.
Además de explotar las fallas en los sistemas de pago afectados, el ataque también requiere del abuso de las terminales de pago sin contacto, lo que eventualmente permite engañar al dispositivo objetivo para falsificar la comunicación entre el smartphone y una terminal de pago ilegítima.
El sistema de pagos de Apple no ha sido el único objetivo de ataque de Yunosov. En reportes posteriores, el experto demostró cómo comprometer la seguridad de un dispositivo Samsung para vaciar las cuentas de los usuarios sin tener que desbloquear el dispositivo. Si bien el ataque funciona de forma diferente, el resultado es el mismo que en compromiso de sistemas Apple.
Otro reporte señala que el mismo método usado para comprometer Apple Pay podría ser utilizado para hackear una cuenta de Samsung Pay vinculada a tarjetas de pago Visa y MasterCard, aunque las fallas parecen ya haber sido abordadas.
Hasta el momento de redacción de este artículo, Samsung no había emitido comentario alguno sobre estas fallas, mientras que Apple y los operadores de pagos consideran que estas no son fallas explotables, por lo que muy seguramente no recibirán parches de seguridad.
Un representante de Apple mencionó: “Esta es una preocupación con un sistema Visa, pero ellos no creen que este tipo de fraude pueda ocurrir en el mundo real dadas las múltiples capas de seguridad existentes; en el improbable caso de que se registre un pago no autorizado, Visa cuenta con los mecanismos para que sus clientes reporten esta actividad maliciosa”.
Por otra parte, Visa señala: “Las tarjetas Visa conectadas a billeteras móviles son seguras y los titulares de tarjetas deben continuar usándolas con confianza. Las variaciones de los esquemas de fraude sin contacto se han estudiado en entornos de laboratorio durante más de una década y han demostrado que no son prácticos para ejecutar a escala en el mundo real”.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
