Brecha entre iPhone e Visa permite pagamento sem senha

Resumo

Uma brecha na integração entre Apple Pay e Visa pode permitir que invasores façam cobranças de alto valor em iPhones bloqueados, burlando senhas e biometria.

Como funciona o ataque

A vulnerabilidade está no Modo Expresso (Express Transit) do Apple Pay, que permite passar em catracas aproximando o celular sem ligar a tela ou usar o Face ID.

O golpe simula um ataque man-in-the-middle e usa um rádio para emitir o código das catracas do metrô.

Com os códigos capturados, o iPhone é enganado e ‘acredita’ estar em uma estação de metrô, liberando a comunicação de pagamento.

Consequências

Um youtuber usou o método e conseguiu debitar US$ 10 mil de outro criador de conteúdo.

A Apple e a Visa já reconheceram o problema, mas discutem a origem da falha.

Prevenção

A recomendação de segurança é avaliar a necessidade de usar o recurso e desativar o ‘Modo Expresso’ para cartões da Visa.

Além disso, é importante usar uma bandeira diferente para as viagens de ônibus ou metrô.