I ricercatori della Newcastle University hanno scoperto un baco potenzialmente molto pericoloso nelle carte di credito VISA per pagamenti “contactless”, un bug che per di più non dovrebbe essere particolarmente difficile da sfruttare. VISA respinge al mittente le accuse e parla di misure di sicurezza sufficienti.
La falla risiede nelle carte VISA payWave pensate per i pagamenti a distanza – senza l’obbligo di passare la carta nel lettore di un POS – tramite comunicazioni NFC, carte dotate di chip RFID in grado di limitare l’importo massimo che è possibile versare senza che l’utente verifichi la propria identità tramite PIN o firma.
Ma tale importo massimo (20 sterline in UK, 15 euro in Irlanda e 25 euro in Germania) non viene verificato , nelle transazioni in UK nel caso in cui il pagamento avvenga in valuta straniera: i ricercatori hanno realizzato un lettore portatile in grado di eseguire transazioni per un massimo di 1 milione di dollari (o di euro) senza destare allarmi o sospetti nel proprietario della carta payWave.
I controlli di sicurezza sugli importi massimi spendibili contactless avviene in locale all’interno del chip RFID della carta, spiegano dalla Newcastle University, e in teoria un malintenzionato potrebbe limitarsi a “strisciare” un lettore (magari sotto forma di smartphone NFC) sul portafoglio in cui è presente la carta per aprire una voragine milionaria nei conti della vittima indifesa.
La risposta di VISA alla ricerca non si è fatta attendere: interpellato dalla BBC, il colosso dei pagamenti sostiene che i ricercatori non hanno tenuto in debita considerazione “i tanti meccanismi di sicurezza” implementati a difesa dei pagamenti contactless , e che il tipo di transazione malevola ipotizzato sarebbe molto difficile da completare al di fuori di un laboratorio di ricerca.
Alfonso Maruccia