Pesquisas encontraram uma vulnerabilidade no sistema de pagamento da Apple Pay e Visa. Depois de encontrar um bug que os fraudadores podem usar para iludir as medidas de segurança e fazer compras sem contato ilimitadas, os pesquisadores pediram aos usuários do iPhone que cancelassem o Visa como um cartão de transporte usando o Apple Pay.
Especialistas da Universidade de Birmingham e da Universidade de Surrey levantaram preocupações de que a falha possa ser usada para realizar transações de um iPhone na bagagem de alguém sem que eles saibam.
Há uma falha de segurança em relação ao sistema de pagamento da Apple Pay e Visa
Diz-se que o problema ocorre apenas com o Apple Pay quando um cartão Visa é configurado como Express Travel Card, também conhecido como modo Express Transit. A equipe usou um equipamento de rádio simples para enganar o iPhone e fazê-lo acreditar que estava se comunicando com um portão de trânsito, quando na verdade era um leitor de pagamento. Isso foi conseguido detectando um código exclusivo enviado por portões de trânsito, que foi então usado para interferir nos sinais entre o iPhone e um leitor de cartão da loja.
O Dr. Tom Chothia, da Universidade de Birmingham, disse: “Os proprietários de iPhone devem verificar se têm um cartão Visa configurado para pagamentos de trânsito e, se tiverem, devem desativá-lo. Não há necessidade de os usuários do Apple Pay estarem em perigo, mas até que a Apple ou Visa consertem isso, eles estão. ”
Os testes do grupo descobriram que as verificações de detecção de fraude de back-end não foram capazes de impedir a realização de qualquer pagamento. Os pesquisadores disseram que conversaram com a Apple e a Visa sobre a vulnerabilidade, alegando que ambas reconhecem a importância do problema subjacente, mas ainda não chegaram a um acordo sobre quem deve implementar uma solução.
“Variações de esquemas de fraude sem contato foram estudadas em ambientes de laboratório por mais de uma década e provaram ser impraticáveis para executar em escala no mundo real”, disse uma porta-voz da Visa. “A Visa leva todas as ameaças à segurança muito a sério e trabalhamos incansavelmente para fortalecer a segurança do pagamento em todo o ecossistema”, acrescentou ela.
Em seguida, a Apple respondeu: “Levamos muito a sério qualquer ameaça à segurança dos usuários. Essa é uma preocupação com o sistema Visa, mas a Visa não acredita que esse tipo de fraude ocorra no mundo real, dadas as múltiplas camadas de segurança existentes. No caso improvável de ocorrer um pagamento não autorizado, a Visa deixou claro que seus titulares de cartão estão protegidos pela política de responsabilidade zero da Visa. ”
Apple e Visa não chegaram a um acordo
A Dra. Andreea Radu, a líder do estudo, comentou que: “Nosso trabalho mostra um exemplo claro de um recurso, destinado a tornar a vida cada vez mais fácil, produzindo efeitos colaterais e afetando negativamente a segurança, com consequências financeiras potencialmente graves para os usuários”.
“Nossas discussões com a Apple e a Visa revelaram que, quando duas partes da indústria cada uma tem culpa parcial, nenhuma delas está disposta a aceitar a responsabilidade e implementar uma correção, deixando os usuários vulneráveis indefinidamente”, acrescentou.
A falha de segurança não se aplica a outras combinações, como Mastercard em iPhones ou Visa no Samsung Pay. As descobertas completas dos pesquisadores serão apresentadas no 2022 IEEE Symposium on Security and Privacy.