Una vulnerabilità di sicurezza su iPhone che permette di sottrarre fino a 10.000 dollari da un dispositivo bloccato. Sembra lo scenario di un film, eppure un video pubblicato sul canale YouTube Veritasium dimostra esattamente questo, anche se in un ambiente controllato e con condizioni molto specifiche. La buona notizia è che, nella vita reale, le probabilità che qualcuno riesca a sfruttare questa falla sono estremamente basse. Ma il fatto che esista, e che sia nota dal 2021 senza essere stata ancora corretta, merita attenzione.
Il video mostra nel dettaglio come funziona il meccanismo. I professori Ioana Boureanu e Tom Chothia hanno scoperto che un iPhone bloccato può essere ingannato per effettuare un pagamento NFC non autorizzato. Il trucco si basa su una serie di passaggi piuttosto ingegnosi: l’iPhone viene portato a credere che un terminale di pagamento sia in realtà un lettore per i trasporti pubblici, sfruttando la funzione Express Transit di Apple. A quel punto, attraverso ulteriori aggiramenti delle protezioni, diventa possibile estrarre un pagamento fino a circa 9.000 euro dal dispositivo, senza che il proprietario debba fare nulla.
Come funziona la falla e chi è davvero a rischio
La vulnerabilità mostrata nel video di Veritasium ha un perimetro ben preciso. Per funzionare, richiede che una carta Visa sia impostata come opzione Express Transit nelle impostazioni di iPhone. Con Mastercard o altri circuiti il problema non si presenta. Questo dettaglio è fondamentale, perché riduce enormemente la platea di persone potenzialmente esposte.
Apple ha dichiarato a Veritasium che il problema è legato a una questione sul lato di Visa. La risposta di Visa, dal canto suo, è stata duplice. Da una parte, l’azienda ha definito lo scenario come “molto improbabile” in contesti reali, specificando che la dimostrazione è avvenuta in un ambiente altamente controllato. Dall’altra, ha ricordato che i titolari delle sue carte sono protetti da una politica di responsabilità zero, il che significa che eventuali perdite derivanti da un exploit di questo tipo verrebbero rimborsate.
L’aspetto più sorprendente di tutta la vicenda è la tempistica. La vulnerabilità è stata scoperta nel 2021, eppure a distanza di anni non è stata ancora risolta. Apple rilascia aggiornamenti di sicurezza per iPhone con regolarità e li documenta pubblicamente, ma questa specifica falla legata ai pagamenti NFC tramite Express Transit resta attiva.
