El fallo, conocido desde 2021 tanto por Apple como por Visa, combina una debilidad en el procesamiento de transacciones de Visa con el modo de pago express diseñado para sistemas de transporte público, y afecta exclusivamente a dispositivos iOS.

 

El mecanismo del ataque consiste en engañar al teléfono haciéndole creer que está interactuando con un sistema de transporte público. Tanto Android como iPhone cuentan con modos especiales que permiten realizar pagos sin desbloquear el dispositivo para facilitar el uso en sistemas de tránsito, incluso en entornos sin conectividad de red, como estaciones subterráneas. 

 

Sin embargo, la vulnerabilidad es exclusiva de iPhone debido a la forma en que Visa gestiona las transacciones de alto monto en contextos de tránsito: a diferencia de otros procesadores, Visa no marca estas operaciones como sospechosas cuando se realizan bajo ese modo.

 

La ejecución del ataque requiere hardware especializado y un teléfono Android con acceso root que funcione como emulador de tarjeta. Apple señaló a Visa como responsable del problema. Por su parte, Visa consideró que un escenario de este tipo es poco probable en la vida real y señaló que, de producirse, estaría cubierto por su política de Responsabilidad Cero. La compañía llegó a citar la dificultad de rootear un dispositivo Android como argumento adicional en contra de la viabilidad del ataque.

En el caso de Android, los fabricantes han implementado salvaguardas adicionales. Samsung, por ejemplo, marca las compras de alto valor realizadas a través del modo tránsito. 

 

Google Wallet, por su parte, permite pagos con el dispositivo bloqueado pero exige que la pantalla esté encendida, y ha avanzado en el refuerzo de la aplicación mediante autenticación biométrica, incluso fuera del contexto de pagos.

 

Video explicativo aquí