El sistema de Apple Pay utiliza un sistema de tokens o identificadores de transacciones que se transfieren entre dispositivos participantes en un pago. Ahora han conseguido que se cree un identificador de transacción y se pueda almacenar en la aplicación Spot.Me para Android para ser gastado posteriormente.
Es una forma bastante inteligente de saltarse la exclusividad de iOS de Apple Pay, aunque el dispositivo Android también debe incluir NFC. El problema está en que ese identificador puede ser usado con cualquier gasto. Grande o pequeño, desde un café hasta un portátil nuevo. Es un problema subyacente en la aplicación de Visa de los TPV (terminales punto de venta) existentes en EE. UU. y Canadá sobre todo.
Uno de los valores con los que se genera el identificador de transacción es un código del TPV en concreto para limitar en cuál se puede utilizar para pagar, y los de Visa usan todos el mismo, por lo que el token generado se puede usar en cualquier TPV que acepte Visa. Es un fallo que se puede solucionar en las aplicaciones de móvil sin tener que cambiar los TPV.
Las implicaciones de seguridad también son diversas, porque un usuario de un iPhone podría no saber si está pagando a un TPV correcto a uno falso que sólo quiere hacerse con un identificador de compra para utilizarlo días, semanas o meses después.
Vía: SlashGear.
