A falha do Venmo permitiu que os invasores usassem o Siri para drenar contas
Foto: Jim Merithew / Cult of Mac
Uma falha crítica no Venmo, de propriedade do PayPal, deixou as contas dos usuários do iPhone expostas a uma conta letal que poderia ter permitido que invasores roubassem $ 2.999,99 em apenas dois minutos.
A falha de segurança Venmo foi descoberta pelo engenheiro de segurança da Salesforce Martin Vigo que descobriu que o Siri pode ser usado em iPhones bloqueados para drenar uma conta apenas com o envio de algumas mensagens de texto.
Confira o hack em ação:
Tudo o que um invasor precisava fazer era dizer ao Siri para enviar uma mensagem de texto para 86753 contendo a palavra “INICIAR”. Se o iPhone tiver uma conta Venmo associada a ele, o invasor poderá solicitar o envio de um pagamento. O máximo que você pode fazer é $ 299,99 por transação, com um limite de $ 2.999,99 por semana.
O invasor pode, então, obter o código de verificação única, pedindo ao Siri para ler a mensagem de texto e, então, é fácil pegá-lo. Felizmente, Venmo diz que corrigiu o problema 18 dias depois de ser relatado por Vigo, mas o fato de a falha existir não é um bom presságio para os clientes.