Una Nuova Ricerca Rivela Difetti di Sicurezza nei Portafogli Digitali più Popolari

Un articolo di ricerca pubblicato oggi dall’Università di Massachusetts Amherst ha rivelato significative vulnerabilità di sicurezza nei popolari portafogli digitali come Apple Pay, Google Pay e PayPal. Lo studio evidenzia come queste tecnologie, previste per essere utilizzate da oltre 5,3 miliardi di persone entro il 2026, potrebbero essere compromesse a causa di metodi di autenticazione obsoleti che antepongono la comodità alla sicurezza.

L’annuncio dell’università spiega anche che i ricercatori hanno identificato un difetto nel modo in cui le banche gestiscono le carte rubate. Le banche di solito bloccano la carta fisica, ma non affrontano le transazioni attraverso i portafogli digitali, dove il sistema di token non richiede la re-autenticazione dopo che la carta è stata sostituita.

Di conseguenza, gli aggressori possono ancora utilizzare i dettagli della carta rubata per gli acquisti anche dopo che la vittima ha ricevuto una nuova carta. Questo mette in luce una grave lacuna di sicurezza che deve essere affrontata per proteggersi dalle transazioni fraudolente.

Taqi Raza, uno degli autori dell’articolo, afferma nell’annuncio: “Qualsiasi attore malevolo che conosce il numero della [carta fisica] può fingere di essere il titolare della carta, […] Il portafoglio digitale non ha un meccanismo sufficiente per autenticare se l’utente della carta è il titolare o no.”

Inoltre, lo studio rivela che gli aggressori possono sfruttare questi portafogli digitali attraverso vari metodi. Prima di tutto, possono aggiungere la carta di credito di una vittima al loro portafoglio, aggirando l’accordo di autenticazione tra il portafoglio e la banca.

In secondo luogo, sfruttano la fiducia intrinseca tra il portafoglio e la banca per eludere l’autorizzazione al pagamento. Terzo, gli aggressori possono manipolare i tipi di pagamento per eludere le politiche di controllo degli accessi, permettendo loro di effettuare acquisti non autorizzati nonostante la carta sia stata segnalata come rubata.

Lo studio ha esaminato le vulnerabilità nelle principali banche statunitensi e nelle app di portafoglio digitale, rivelando che, anche dopo essere state notificate, i problemi persistono. I ricercatori hanno scoperto che i nuovi dettagli della carta vengono collegati al vecchio token virtuale senza re-autenticazione, consentendo un’attività fraudolenta continua.

Per affrontare questi problemi, lo studio propone diverse contromisure. Una raccomandazione importante è quella di sostituire i sistemi obsoleti di password monouso (OTP) con metodi di autenticazione a più fattori (MFA) più sicuri.

Inoltre, lo studio suggerisce di implementare l’autenticazione continua per la gestione dei token al fine di migliorare la sicurezza. Attualmente, i token di pagamento rimangono validi a tempo indeterminato dopo l’autenticazione iniziale. La raccomandazione è che le banche utilizzino una re-autenticazione periodica e aggiornamenti del token, specialmente dopo eventi critici come la perdita della carta.

Infine, la ricerca raccomanda di migliorare l’autorizzazione delle transazioni analizzando i metadati delle transazioni, come il tempo e la frequenza, per distinguere tra transazioni uniche e ricorrenti. Ciò aiuterebbe a prevenire l’abuso delle etichette di transazione e a garantire che le transazioni corrispondano ai loro tipi e importi previsti.