Pesquisadores das universidades britânicas de Birmingham e Surrey descobriram uma vulnerabilidade no sistema de pagamento sem contato Apple Pay, que permite sacar qualquer quantia em dinheiro do cartão bancário vinculado a ele sem a necessidade de desbloquear o iPhone. O experimento confirmou que o método funciona apenas com cartões bancários Visa.
Uma característica do sistema Apple Pay é que confirma a transação apenas sob certas condições. Para que o pagamento seja efetuado, o dono do smartphone deve passar por autenticação e desbloquear o iPhone de uma das três formas: usando Face ID, Touch ID ou uma senha.
No entanto, os pesquisadores descobriram que a proteção Apple O pagamento pode ser ignorado usando a função Express Transit integrada, que permite transferir fundos de um cartão Visa vinculado sem precisar desbloquear o dispositivo. O recurso Express Transit foi introduzido no sistema Apple Pague em 2019 devido à inconveniente necessidade de desbloquear o telefone todas as vezes para pagar viagens no mesmo transporte público.
“Em combinação com um cartão Visa, isso pode ser útil para contornar a proteção de um iPhone bloqueado. Ou seja, o invasor pode transferir qualquer quantia da conta da vítima sem precisar desbloquear o smartphone”, explicam os pesquisadores. Para provar suas palavras, os especialistas publicaram um vídeo mostrando como receberam um pagamento de £ 1000 de um iPhone bloqueado sem saber a senha dele. Para isso utilizaram um dispositivo móvel Proxmark que funcionava como um leitor de cartões que interagia com o iPhone da vítima imaginária e Android- um dispositivo que funcionava como terminal de pagamento. De acordo com o infográfico publicado, o método dos especialistas funciona segundo o princípio “Man-in-the-Middle”. Os especialistas observam que hoje esta vulnerabilidade ainda é relevante, então os usuários Apple O pagamento com cartões Visa definitivamente vale a pena considerar esse recurso.
"Nossas conversas com Apple e a Visa mostraram que quando ambas as partes do setor são parcialmente culpadas por um evento, nenhuma delas está disposta a assumir a responsabilidade e implementar mudanças, deixando os usuários vulneráveis indefinidamente", comentou Andrea Radu, da Universidade de Birmingham.
Leia também:
- Apple AirTag pode ser usado para hacking e roubo de dados
- Revisão de carregamento sem fio Moshi Sette Q com Moshi Flekto Add-on para Apple Assistir
Esses são todos os mitos sobre a segurança do iOS.
Basicamente, eu vejo assim. Insira a sequência de ações em algum programador para não se atrapalhar com as mãos o tempo todo, coloque o aparelho na bolsa e dirija na hora do rush, pressionando a bolsa contra os celulares nos bolsos externos. Lucro! Por precaução, considere este comentário como uma mensagem de um cidadão preocupado ao Departamento de Segurança Cibernética. ;)