Falha no Apple Pay com cartões Visa permite pagamentos sem autorização do dono

Pesquisadores encontraram uma falha que permite a realização de pagamentos pelo Apple Pay a partir de um iPhone bloqueado, sem o conhecimento dos donos do aparelho.

• Apps de iPhone coletam dados mesmo sem permissão dos usuários
• Extensão do Firefox roubava criptomoedas de carteira digital
• O que é o golpe do falso pagamento com Pix?

Esse método funciona mesmo se o iPhone estiver em bolso ou guardado em mochilas, e também ignora o limite de transações do Apple Pay. Os pesquisadores da Universidade de Surrey no Reino Unido, durante estudo sobre pagamentos por aproximação, descobriram que os iPhones confirmam transações a partir de certas condições, como a digitação de senha, confirmação do Touch ID (impressão digital) e Face ID (reconhecimento facial).

Porém, em alguns cenários, como pagamento de transporte público em países europeus, o processo de confirmação de pagamento se torna trabalhoso para os usuários. Por isso a Apple introduziu a função “Transporte Público Expresso”, que permite que transações ocorram sem a necessidade de autenticação.

O Transporte Público Expresso só funciona para serviços específicos, como catracas de metrô em Londres, que contam com dispositivos de pagamentos que emitem uma sequência de dados específica feita para ativar essa função do Apple Pay.

Segundo os pesquisadores, o modo Transporte Público Expresso do Apple Pay, combinada com um cartão Visa, pode ser usado por criminosos para a realização de pagamentos sem conhecimento dos usuários.

Como funciona 

A falha acontece por conta de uma vulnerabilidade na forma que os cartões da Visa tem ao serem usadas em conjunto com o modo Transporte Público Expresso do Apple Pay. Quando testado com cartões MasterCard, o problema não tem chances de acontecer por uma checagem extra que os sistemas da emissora do cartão fazem no iPhone que está tentando realizar a transação.

Os pesquisadores disseram que para a vulnerabilidade ser explorada, os seguintes passos são necessários:

• Um pequeno equipamento de rádio, como os da marca proxmark, é colocado perto do iPhone com cartão Visa registrado no modo Transporte Público Expresso do Apple Pay, enganando o celular para pensar que está próximo de um terminal de pagamento de transporte;
• Ao mesmo tempo, uma aplicação criada pelos pesquisadores é executada em um dispositivo Android, enviando sinais do iPhone para um terminal de pagamento por aproximação;
• Como o iPhone está pensando que está perto de um terminal de pagamento de transporte, ele ativa a sua função de Transporte Público Expresso, permitindo assim que pagamentos sejam realizados sem desbloquear o celular;
• Ao mesmo tempo, a aplicação de Android modifica os sinais do iPhone que estão sendo recebidos pelo terminal de pagamento por aproximação, fazendo ele entender que o celular da Apple está desbloqueado e permitindo a efetuação de transações com altos valores sem a necessidade de desbloqueio do smartphone.

Na demonstração da vulnerabilidade, os pesquisadores realizaram um pagamento por aproximação de US$ 1,3 mil (cerca de R$ 7,1 mil na cotação atual) a partir oo iPhone bloqueado. Os pesquisadores ainda afirmaram que o celular Android e o terminal de pagamento não precisam estar perto do iPhone da vítima para a falha poder ser abusada, bastando uma conexão com a Internet.

Os pesquisadores afirmam que enviaram o relatório da pesquisa para a Apple e para a Visa, em outubro de 2020 e maio de 2021, respectivamente. As duas empresas responderam passando a culpa da vulnerabilidade para a outra.

O que as empresas dizem

Procurada pelo site BleepingComputer, a Visa emitiu um comunicado afirmando que seus cartões compatíveis com a função Transporte Público Expresso do Apple Pay são seguros e que seus donos podem continuar os usando com confiança. Ela também diz que fraudes de sistemas de pagamentos por aproximação estão sendo estudadas há mais de uma década e que sempre se provam impraticáveis para seu uso no mundo real. Por fim, a empresa destaca que, caso essa falha atinja algum usuário, as vítimas estão protegidas pelo seguro presente em seus cartões.

A Apple também emitiu um comunicado sobre a vulnerabilidade, mas para o portal BBC. A empresa fundada por Steve Jobs afirmou para o site de notícias que essa falha é responsabilidade da Visa, mas que a companhia de pagamentos não acredita que esse tipo de golpe é viável para uso no mundo real. A Maçã finaliza, assim como a Visa, afirmando que, na pequena possibilidade de uma fraude dessas acontecer com algum usuário, os donos dos cartões estão protegidos pelo seguro da companhia financeira.

Fonte: BBC, Bleeping Computer, iMore, MacRumors