Pesquisadores de segurança descobriram uma grande falha em Trânsito expresso no iPhone que permite que hackers roubem dinheiro do cartão Visa de um usuário. Eles dizem que o problema pode ser facilmente resolvido, mas nem a Apple nem a Visa parecem interessadas.
A falha torna possível para o sistema de pagamento sem contato do iPhone, projetado para tornar mais fácil e rápido pagar pelo transporte público, a ser cobrado por transações arbitrárias por um dispositivo que imita um transporte terminal.
O Express Transit no iPhone tem uma grande falha
O Express Transit no iPhone e no Apple Watch não requer autenticação, ao contrário do Apple Pay em uma loja ou online. Ele corta esse processo para acelerar o processo de pagamento para que os usuários não sejam interrompidos ao pegar trens, ônibus e outros serviços.
Além do mais, o Apple Pay também não tem limite de pagamento, ao contrário dos cartões de crédito e débito sem contato. Então, simplesmente usando um dispositivo que imita um terminal de transporte público, os hackers podem carregar um iPhone o quanto quiserem com apenas um toque.
Pesquisadores das Universidades de Surry e Birmingham foram capazes de explorar essa falha para cobrar um pagamento de £ 1.000 (aprox. $ 1.345) para um iPhone, apesar de estar bloqueado na época. Mas só funciona com cartões Visa.
Aqueles que usam um cartão MasterCard ou American Express, que utilizam um processo de autenticação adicional, com o Express Transit são considerados seguros.
Express Transit deve ser habilitado
As transações do Express Transit não podem ser realizadas remotamente - um invasor precisa estar próximo ao seu dispositivo para tirar vantagem dessa falha. Mas é possível que um terminal de pagamento não autorizado possa ser escondido dentro de uma bolsa e, em seguida, roçar no iPhone de um usuário enquanto ele está dentro do bolso.
Express Transit é um recurso opcional que deve ser habilitado manualmente, para que seu dispositivo só seja vulnerável se você o tiver ativado e vinculado a um cartão Visa. Mas o que é preocupante é que nem a Apple nem a Visa parecem dispostas a encontrar uma solução.
A Apple culpa o Visa pelo problema e disse O telégrafo que “a Visa não acredita que este tipo de fraude possa ocorrer no mundo real, dado o múltiplas camadas de segurança no local. ” Ele também apontou que os usuários estão protegidos pela responsabilidade zero da Visa política.
Um porta-voz da Visa insistiu que os cartões conectados ao Express Transit "são seguros" e que os titulares do cartão "devem continuar a usá-los com confiança". Eles também descartaram as descobertas acrescentando que "variações de esquemas de fraude sem contato foram estudadas em ambientes de laboratório por mais de uma década e provaram ser impraticáveis para execução em escala real mundo."
Isso é diferente
Embora a Apple e a Visa pareçam indiferentes, parece que há razões válidas para os proprietários de iPhone se preocuparem. Ao contrário de outras transações do Apple Pay, os pagamentos do Express Transit não precisam ser autorizados por Face ID, Touch ID ou uma senha - e não há limite de quanto pode ser gasto.
Portanto, é perfeitamente plausível que um hacker possa esconder um terminal de pagamento dentro de uma bolsa e, em seguida, segurá-lo perto do iPhone ou Apple de uma vítima desavisada Observe em um trem ou plataforma movimentada fazer uma cobrança da qual o proprietário do iPhone nada sabe até que ele saia de sua conta bancária ou apareça em um demonstração.
A única maneira de evitar isso é simplesmente parar de usar os cartões Visa com o Express Transit.