IL SISTEMA DI PAGAMENTO CONTACTLESS È DAVVERO SICURO?

IL SISTEMA DI PAGAMENTO CONTACTLESS È DAVVERO SICURO?

Ormai tutte le nuove carte prepagate, di debito e di credito tradizionali hanno il sistema di pagamento contactless (senza contatto). Si tratta di una soluzione che consente di effettuare transazioni senza introdurre le carte nei tradizionali POS (Point of Sale) e senza digitare il PIN (Personal Identification Number). Nella fattispecie, per carta di pagamento contactless si intende uno strumento di pagamento dotato di tecnologia RFID (Radio Frequency IDentification – identificazione a radiofrequenza) e un’antenna per la ricezione del segnale proveniente dal POS abilitato. Che il funzionamento del sistema sia semplice e che le operazioni di pagamento siano rapide è fuori discussione. La domanda è un'altra, sono sicure? Teoricamente la sicurezza dovrebbe essere garantita dal fatto che la carta non lascia mai il proprietario, non necessita di strisciate o inserimenti. Nella realtà i sistemi di pagamento dotati di questa tecnologia sono piuttosto vulnerabili. Le carte di credito contactless integrano un chip NFC ed un'antenna che rispondono alla richiesta di un terminale di pagamento (POS) usando una frequenza pari a 13,56 MHz, i cellulari di ultima generazione sono provvisti dello stesso chip. Di recente due ricercatori spagnoli Ricardo Rodriguez e Jose Vila hanno illustrato come è vulnerabile da attacchi hacker questa nuova tecnologia e quindi come potrebbe essere sfruttata dagli sviluppatori di malware utilizzando lo stesso smartphone del truffato. Basti pensare che i chip NFC sono già presenti in 800 milioni di smartphone e secondo una ricerca effettuata da IHF Tecnology nel 2020 ce saranno oltre 2 miliardi. Come avviene l'attacco? Il metodo è chiamato relay attacks. Tutto ciò cui ha bisogno un hacker è un POS in grado di accettare i pagamenti NFC, uno smartphone (con chip NFC) Android con sistema operativo Android 4.4 o superiore. Per lanciare l'attacco, un hacker renderà disponibile un’App di un gioco o programma di utilità con il malware, scaricabile anche gratuitamente dal web, come ad esempio su Play Store di Google.  Una volta scaricata l'applicazione, ogni qualvolta il malcapitato avvicina un carta di credito con il dispositivo contactless al proprio smartphone, l'applicazione invia un messaggio su internet con i dati della carta sullo smartphone dell'hacker.  Adesso basta che l'hacker avvicini il proprio smartphone ad un POS e immediatamente, viene approvata una transazione monetaria illegale. La quantità di denaro che potrebbe essere rubata è limitata a piccole somme (in Italia il limite è fissato a 25€), le implicazioni sono comunque significative considerando il numero smisurato di possibili dispositivi attaccabili. Anche se non ci sono ancora stati casi noti di relay attacks, con la crescente commercializzazione di smartphone dotati del dispositivo NFC e quindi potenzialmente sfruttabili, non è difficile credere che sia solo una questione di tempo prima che tutto ciò possa accadere. Un consiglio per ridurre il rischio di truffe ed essere consapevoli delle applicazioni che si sta installando sul dispositivo: non utilizzate applicazioni che non sono state approvate da Play Store o che sono di un mercato alternativo. Se non si utilizza NFC è preferibile disattivarlo in questo modo l'applicazione fraudolenta deve chiederci di attivarlo, ed avendolo disattivato ne verremo a conoscenza.

Pubblicato il 19 nov 2015

Tags

Nessun tag associato

Potrebbero interessarti

Google con gli sviluppatori Android contro le app truffa

Google con gli sviluppatori Android contro le app truffa

Dopo il rilascio della prima beta pubblica di Android 11, il nuovo sistema operativo sviluppato dal colosso tecnologico di Mountain View, Google ha anche aggiornato le librerie del Play Billing alla versione 3. Con questa nuova versione gli sviluppatori Android avranno una gestione molto più semplificata e allo stesso tempo più trasparente degli abbonamenti legati alle applicazioni. La novità principale sta soprattutto nella fase di installazione dell’App dal Play Store. Con questi nuovi strumenti infatti gli sviluppatori Android potranno permettere agli utenti di scaricare un’unica versione dell’applicazione che permette un periodo di prova per poi passare alla versione a pagamento, senza dover scaricare diverse versioni dell’App. In questo caso, nel Play Store, all’interno delle schermate di download dell’applicazione, troveremo, oltre al pulsante classico di installazione, un pulsante che riporta la scritta “free trial & install”. Questo ci fa già comprendere che il processo di pagamento non sarà più gestito all’interno dell’App ma direttamente dal Play Store con tutti i vantaggi del caso. Ovviamente nella pagina dello store saranno riportati tutte le informazioni relative all’abbonamento come ad esempio durata, costo, contenuti accessibili, eventuali limitazioni del periodo di prova, etc., oltre all’introduzione di codici promo che permetteranno agli utenti di utilizzare per un periodo di prova gratuito l’applicazione. L’altro aspetto positivo da non sottovalutare di questo nuovo meccanismo è proprio la trasparenza. Molte “app truffa” che si fingevano gratuite, per poi chiedere la sottoscrizione di abbonamenti, cercando così di ingannare gli utenti avranno vita breve. L’utente infatti saprà sin da subito, attraverso le informazioni contenute sul Play Store, quali sono i contenuti gratuiti e quali quelli a pagamento di quell’App Android. Tutte le novità sono al momento disponibili in test ad un numero ristretto di sviluppatori android, non ci resta quindi che attendere e verificare se la funzionalità verrà resa disponibile ma soprattutto se sarà obbligatoria o meno.  

L'Apple Watch arriva in palestra con il programma Connected

L'Apple Watch arriva in palestra con il programma Connected

I Fitness Tracker indossati al polso tendono a fare un ottimo lavoro quando ci si allena all'aperto mentre, per gli appassionati della palestra, le cose si complicano. Il GPS non può davvero svolgere il suo lavoro rilevando le distanze e per alcuni macchianri come l'ellittica il discorso tende ad essere ancora più complicato. Le ultime generazioni di Apple Watch e WatchOS hanno lavorato per colmare questo divario, con un rilevamento degli allenamenti più sofisticato e l'introduzione, nel 2017, di GymKit . Con quest'ultima, Apple ha iniziato a lavorare con i produttori di apparecchiature per abbandonare le macchine iPod a 30 pin per i nuovi modelli che funzionano con il rilevamento di Apple. Da meno di un mese, il nuovo programma Apple Watch Connected verrà lanciato con quattro partner. È un quartetto piuttosto vario, che va dalla vecchia scuola alla boutique, tra cui Orangetheory, Basecamp, YMCA e Crunch Fitness. Il sistema di GymKit, per arrivare nella palestra del tuo quartiere richiederà, purtroppo, ancora un poco di tempo. Il programma è progettato per colmare ulteriormente il divario tra l'attività sportiva effettuata all'interno ed all'esterno della palestra; è fondamentalmente avere appunto attrezzature abilitate per GymKit, un'Apple Watch e un'app iOS (sviluppata con Apple) ed i più interessanti, "programmi di incentivazione". In sostanza, il programma di incentivazione è un programma che spinge lo sportivo ad effettuare più sport a seconda della natura dell'accordo con la palestra. Ad esempio con Orangetheory, lo sportivo può sfruttare l'attività per guadagnare piccoli premi come le carte regalo Nike e Apple. Tutto sommato, sembra una vittoria per tutte le parti coinvolte. Apple ottiene un coinvolgimento più attivo in un numero limitato ma crescente di palestre e le palestre possono vantare una partnership Apple. Quindi un nuovo modo di fare sport ed un nuovo modo di fare business promuovendo il benessere e la salute dell'utente.

Family Link: l'App di Google per il controllo parentale

Family Link: l'App di Google per il controllo parentale

L'azienda di Mountain View ha deciso di rilasciare un'App per tenere sotto controllo le attività "digitali" dei propri figli. Ebbene si, da oggi i genitori hanno un'arma in più dalla loro parte per osservare le attività dei più piccoli. Grazie a quest'applicazione infatti si ha la possibilità di visualizzare tutte le attività svolte sullo smartphone del proprio figlio. Ci sono due App, una va installata sullo smartphone del genitore e l'altra su quella del figlio. Dopodichè sarà possibile monitorare il tempo di utilizzo di ogni applicazione, approvare o meno il download di una particolare App, controllare le autorizzazioni delle app su Android, ad esempio microfono, videocamera, posizione e accesso ai contatt, impostare un limite di tempo per l'utilizzo del dispositivo, bloccare il dispositivo da remoto, visualizzare la posizione da remoto. Tante belle funzionalità insomma, anche se non tutti sono d'accordo. Sullo store infatti sono stati tanti i commenti da parte di adolescenti che si sono ritrovati a dover combattere contro quella che loro stessi hanno definito "l'applicazione del demonio". Non c'è da biasimarli forse se si sono ritrovati ad essere un pò bambini dal momento un cui quest'App permette un controllo totale del dispositivo. La lotta dunque tra genitori e figli si è spostata in digitale, anche se l'intento di Google è quello di rendere più consapevoli gli utenti giovani nell'utilizzo delle nuove tecnologie. Se avete voglia di provarla, l'App Family Link è disponibile su Google Play di Google per dispositivi Android e su App Store di Apple per dispositivi iOS.