Pesquisadores das universidades britânicas de Birmingham e Surrey descobriram uma vulnerabilidade no sistema de pagamento sem contato do Apple Pay que permite retirar qualquer quantia de um cartão bancário vinculado a ele sem ter que desbloquear o iPhone. A experiência confirmou que o método só funciona com cartões de banco Visa.
A peculiaridade do sistema Apple Pay é que ele confirma uma transação apenas sob certas condições. Para que o pagamento seja realizado, o proprietário do smartphone deve autenticar e desbloquear o iPhone de uma das três maneiras: usando o Face ID, Touch ID ou uma senha.
No entanto, os pesquisadores descobriram que a proteção do Apple Pay pode ser contornada com o Express Transit integrado, que permite a transferência de fundos do cartão Visa vinculado sem ter que desbloquear o dispositivo. O recurso Express Transit foi introduzido no Apple Pay em 2019 devido à inconveniente necessidade de desbloquear seu telefone todas as vezes para pagar pelo mesmo transporte público.
«Este recurso pode ser usado em combinação com um cartão Visa para contornar a segurança de um iPhone bloqueado. Em outras palavras, um atacante pode transferir qualquer valor da conta da vítima sem ter que desbloquear o smartphone ”, explicam os pesquisadores.
Para confirmar suas palavras, os especialistas publicaram um vídeo mostrando como eles receberam um pagamento de £ 1.000 de um iPhone bloqueado sem saber a senha dele.
Para isso, eles usaram um dispositivo móvel Proxmark, que atuou como um leitor de cartão, que interagiu com o iPhone da vítima imaginária e um dispositivo Android que atuou como um terminal de pagamento. De acordo com os infográficos publicados, o método dos especialistas funciona de acordo com o princípio do Homem no Meio.
Os especialistas observam que hoje essa vulnerabilidade ainda é relevante, então os usuários do Apple Pay com cartões Visa definitivamente devem levar esse recurso em consideração.
«Nossas discussões com a Apple e Visa mostraram que quando ambas as partes na indústria são parcialmente culpadas pelo que aconteceu, nenhuma delas está disposta a assumir a responsabilidade e implementar mudanças, deixando os usuários vulneráveis indefinidamente ”, comentou a especialista Andrea Radu.) Da Universidade de Birmingham.