Imagine que seu iPhone está no seu bolso, completamente bloqueado, e mesmo assim alguém consegue sacar milhares de dólares da sua carteira digital sem tocar na tela ou usar reconhecimento facial! Isso pode parecer coisa de filme de ficção científica, mas aconteceu de verdade em um experimento real, embora controverso. Pesquisadores de segurança das Universidades de Surrey e Birmingham realizaram um ataque sofisticado contra o iPhone do popular YouTuber Marcus Brownlee (MKBHD), conseguindo sacar a impressionante quantia de US$ 10,000 do seu aparelho bloqueado.
Truque de transporte em alta velocidade
O ataque, divulgado pelo popular canal Veritasium, explora uma vulnerabilidade no Modo Expresso de Trânsito do Apple Pay. Esse recurso foi projetado para permitir pagamentos rápidos em estações de metrô e ônibus sem a necessidade de desbloquear o iPhone ou usar o Face ID. No entanto, pesquisadores descobriram uma maneira de enganar o telefone, fazendo-o pensar que está em uma catraca de estação de transporte público quando, na verdade, está em um leitor de cartões falso.
Isso requer acesso físico ao dispositivo e equipamentos especializados. Um leitor NFC conectado a um laptop é usado para interceptar a conexão. O ID do leitor NFC é então modificado para corresponder aos IDs dos terminais autorizados, e os dados de pagamento coletados são enviados para outro telefone (um telefone comprometido) que é colocado próximo a um leitor de cartão legítimo para concluir o roubo.
Por que especificamente os cartões Visa?
O interessante dessa vulnerabilidade é que ela só funciona com uma combinação muito específica: um iPhone e um cartão Visa. Acontece que o problema não está no sistema operacional da Apple em si, mas sim nos protocolos de segurança da Visa para lidar com transações de transferência expressa. O ataque não funciona com cartões Mastercard ou American Express porque essas empresas usam métodos de segurança diferentes que não podem ser enganados da mesma forma.
Usuários de dispositivos Samsung e do serviço Samsung Pay também estão protegidos contra esse tipo de ataque, o que coloca a responsabilidade nas mãos da Visa e da Apple para esclarecer quem é o responsável por essa falha de segurança que permite contornar os limites das transações tradicionais e sacar quantias enormes, de até milhares de dólares, em uma única operação.
Você deveria se preocupar com seu dinheiro?
Em resposta a esse incidente, a Apple declarou que o problema estava relacionado ao sistema da Visa e que tal fraude era improvável de ocorrer no mundo real devido à complexidade técnica e ao acesso físico necessários. A Visa, por sua vez, enfatizou que seus clientes são protegidos por uma política de "responsabilidade zero", o que significa que quaisquer transações fraudulentas dessa natureza podem ser facilmente recuperadas.
Resumindo, você não precisa se preocupar.
Especialistas acreditam que realizar um ataque em larga escala como esse nas ruas seria extremamente difícil, mas serve como um importante lembrete de que a tecnologia, por mais segura que seja, sempre pode conter vulnerabilidades inesperadas. Se você estiver preocupado, o conselho mais simples é evitar usar um cartão Visa como sua principal forma de pagamento para o "Transporte Rápido" no seu iPhone, ou simplesmente desativar o recurso se você não estiver usando transporte público compatível.
Fonte:
5 resenhas