Secondo quanto rivelato da Josep Rodriquez di IOActive, ricercatore esperto in materia di sicurezza digitale, i lettori NFC contactless e POS sono molto meno sicuri di quanto ci si potrebbe aspettare: sarebbero esposti ad alcune gravi vulnerabilità, come il jackpotting e l’intercettazione da parte di altri dispositivi con NFC nelle vicinanze
I cari vecchi pagamenti in contanti per molte persone sono un qualcosa di superato. I pagamenti contactless rappresentano infatti uno standard in ascesa, sempre più diffuso grazie alla grande comodità garantita dall’utilizzo della sola carta di credito/bancomat che, tramite tecnologia NFC, possono essere appoggiate ad un lettore per effettuare il pagamento in un batter d’occhio.
Pagare con carte contactless è ritenuto anche notevolmente sicuro, dato che oltre una determinata soglia di denaro da pagare è necessario inserire il PIN della carta di credito utilizzata: in questo modo eventuali carte perse non possono essere impiegate per grandi spese. I problemi di sicurezza, però, sembrerebbero esserci lo stesso e potrebbero provenire dagli stessi lettori contactless e POS: ecco perché.
Leggi anche: Home banking in Italia cresciuto del 10% nell’ultimo anno: qual è l’istituto più scelto?
Lettori NFC contactless e POS non sono così sicuri? Uno studio rivela le possibili cause
Josep Rodriquez di IOActive è un ricercatore esperto in materia di sicurezza digitale, e da oltre un anno è impegnato nello studio delle vulnerabilità dei lettori contactless, dei POS e di tutti gli strumenti dotati di tecnologia NFC per il pagamento senza inserimento diretto della carta di credito. Lo studio è già stato illustrato alle parti interessate, in particolare ai produttori di questi dispositivi, tuttavia fino ad oggi non è mai stato reso pubblico per principi di responsible disclosure.
Secondo quanto emerso dallo studio di Rodriquez, a quanto pare i dispositivi NFC per la lettura di carte contactless possiedono dei difetti “congeniti” che li espongono ad una serie di pericolose vulnerabilità. Un potenziale hacker con un minimo di esperienza, ad esempio, potrebbe attivare un proprio dispositivo NFC nelle vicinanze e bloccare un pagamento per estrarre informazioni dalla carta di credito o dal bancomat utilizzati. O ancora, potrebbe avvicinarsi ad uno sportello e mettere in atto il cosiddetto jackpotting, in grado di far erogare allo sportello denaro senza limiti.
A detta di Rodriquez i lettori NFC per pagamenti contactless e POS soffrono della mancanza di strumenti di sicurezza robusti: spesso non leggono la quantità di dati ricevuti nel modo corretto, e ciò li rende esposti al pericolo di ricevere sovraccarichi in grado di mandarli letteralmente k.o.
Leggi anche: Da Polizia Postale e Airbnb alcuni consigli per evitare truffe nella prenotazione delle vacanze
Il ricercatore sottolinea come le aziende coinvolte nello studio abbiano già elaborato le proprie patch, ma gli aggiornamenti correttivi in molti casi non sono stati ancora applicati. Proprio per sensibilizzare ancor di più sul problema, Rodriquez terrà un webinar nelle prossime settimane dove illustrerà le gravi vulnerabilità scoperte, nella speranza che tutte le case produttrici possano finalmente applicare le correzioni adeguate.
