Brecha entre iPhone e Visa permite pagamento mesmo sem senha; entenda
- Uma brecha na integração entre Apple Pay e Visa permite cobranças de alto valor com iPhone bloqueado, sem senha e sem Face ID.
- O golpe recorre ao Modo Expresso ativado, enganando o aparelho sobre o acesso a transporte público.
- Apple e Visa já reconheceram o problema, mas discutem a origem da falha; a rede de cartões diz que o ataque é complexo demais para ser aplicado no dia a dia.
Uma brecha na integração entre Apple Pay e Visa pode permitir que invasores façam cobranças de alto valor em iPhones bloqueados, burlando senhas e biometria. Essa falha foi descoberta no Reino Unido em 2021, mas voltou à tona nesta semana: um youtuber usou o método e conseguiu debitar US$ 10 mil (cerca de R$ 50 mil) de outro criador de conteúdo.
Veículos especializados, como o Apple Insider, reforçam que o usuário comum não precisa entrar em pânico. Para que o roubo dê certo, o criminoso precisa de acesso físico prolongado ao iPhone da vítima, equipamentos de rádio específicos, um celular Android modificado (com root) e, obrigatoriamente, um cartão Visa configurado no Modo Expresso do iOS.
Como o ataque funciona?
A vulnerabilidade está no Modo Expresso (Express Transit) do Apple Pay. Criado para facilitar o acesso ao transporte público, o recurso permite passar em catracas aproximando o celular sem ligar a tela ou usar o Face ID.
Como relatado em pesquisa da Universidade de Birmingham, o golpe simula um ataque man-in-the-middle, e usa um rádio para emitir o código das catracas do metrô. Com os códigos capturados, o iPhone é enganado e “acredita” estar em uma estação de metrô, liberando a comunicação de pagamento.
Um computador então intercepta o sinal, altera os dados para disfarçar a transação de alto valor como se fosse uma simples passagem barata e repassa a cobrança para uma maquininha comum por meio do Android modificado.
O canal do YouTube Veritasium conseguiu cobrar US$ 10 mil do celular do influenciador Marques Brownlee (MKBHD), pois os dados manipulados informaram ao sistema que a transação estava autenticada pelo dono do aparelho.
Essa brecha, até então, é exclusiva da bandeira Visa, devido à forma como a empresa processa informações offline. A Mastercard, por exemplo, exige uma verificação de assinatura criptográfica que barra esse tipo de falsificação.
Ainda assim, vale ressaltar que os sistemas de pagamento de transporte público no Brasil podem operar com protocolos totalmente diferentes, o que torna o golpe difícil de ser replicado por aqui.
Android não corre esse risco?
A arquitetura de sistemas concorrentes conta com métodos de verificação que impedem essa manipulação, conforme detalhado pelo 9to5Google. O Samsung Wallet, mesmo no modo de transporte, analisa o valor exato da transação: se um terminal fraudulento tentasse cobrar US$ 10 mil, a carteira da Samsung bloquearia a ação na hora e exigiria a senha.
Já a Carteira do Google permite o pagamento no transporte, mas exige que a tela do celular esteja ligada. Além disso, a empresa vem ampliando a necessidade de biometria para quase todas as aproximações.
Jogo de empurra
Tanto a Apple quanto a Visa têm conhecimento da falha desde sua descoberta original há cinco anos, mas nenhuma correção definitiva foi aplicada. A fabricante do iPhone afirma que o problema é um erro no sistema da Visa.
A processadora de pagamentos, por sua vez, argumenta que o ataque é complexo e oneroso demais para ocorrer nas ruas em larga escala. A Visa também garante que, caso a fraude ocorra, os clientes afetados estarão totalmente protegidos pela sua Política de Responsabilidade Zero, que garante o estorno do valor integral.
Por enquanto, a recomendação de segurança dos especialistas é avaliar a necessidade de usar o recurso. Para anular qualquer risco, basta acessar os ajustes do Apple Pay e desativar o “Modo Expresso” para cartões da Visa, optando por usar uma bandeira diferente para as viagens de ônibus ou metrô.