A Uma equipe de pesquisadores no Reino Unido descobriu problemas de segurança relacionados aos cartões Visa e Apple Pay que podem resultar em invasores contornando a tela de bloqueio e fazendo pagamentos fraudulentos.
De acordo com a pesquisa , a falha ocorre quando os cartões Visa são configurados no Express da Apple Modo de trânsito em um iPhone. A falha pode permitir que invasores contornem a tela de bloqueio do iPhone e façam pagamentos sem contato sem a senha.
O modo Express Transit da Apple permite que os usuários paguem rapidamente pelas viagens de transporte usando um cartão de crédito, débito ou transporte público sem desbloquear o dispositivo.
Os pesquisadores dizem que a vulnerabilidade afeta apenas os cartões Visa armazenados na carteira. É causado por um código único transmitido por portões de trânsito ou catracas de trânsito que sinalizam para um iPhone para desbloquear o Apple Pay.
Usando um equipamento de rádio comum, os pesquisadores foram capazes de realizar um ataque que enganou um iPhone fazendo-o acreditar que estava em um portão de trânsito. O ataque de prova de conceito envolveu um iPhone com Express Transit habilitado para fazer um pagamento fraudulento a um leitor de pagamento inteligente. Um ataque semelhante pode ocorrer de forma descontrolada, transmitindo o código exclusivo e modificando um conjunto de variáveis.
No entanto, os pesquisadores apontam que o ataque não parece prático em grande escala. Mesmo se um invasor conseguir retirá-lo, os bancos e instituições financeiras têm outros mecanismos que impedem a fraude, detectando transações suspeitas.
A falha foi descoberta por pesquisadores da University of Birmingham e da University of Surrey no Reino Unido. Os autores do artigo, que será publicado no Simpósio IEEE de 2022 sobre Segurança e Privacidade, são Andreea-Ina Radu, Tom Chothia, Christopher JP Newton, Ioana Boureanu e Liqun Chen.
Os pesquisadores alertaram a Apple sobre a primeira em outubro de 2020 e a Visa em maio de 2021.
Em uma declaração para a ZDNet, a Visa diz que este tipo de ataque não é novidade e os clientes não têm muito com que se preocupar.
“Variações de esquemas de fraude sem contato foram estudadas em ambientes de laboratório por mais de uma década e provaram ser impraticáveis para execução em escala no mundo real”, escreveu a empresa de cartão de crédito.”A Visa leva todas as ameaças à segurança muito a sério e trabalhamos incansavelmente para fortalecer a segurança do pagamento em todo o ecossistema.”
