Uma equipe de pesquisadores no Reino Unido descobriu problemas de segurança no Apple Pay relacionados aos cartões Visa. Segundo os especialistas, a vulnerabilidade pode fazer com que invasores realizem pagamentos fraudulentos mesmo com o iPhone bloqueado.
De acordo com a pesquisa [PDF], a falha está limitada a cartões Visa configurados com o recurso Transporte Público Expresso do Apple Pay — o qual permite que usuários paguem rapidamente por viagens usando um cartão de crédito/débito ou de transporte sem desbloquear o dispositivo.
Usando um equipamento de rádio comum, os pesquisadores foram capazes de realizar um ataque que simulava o Transporte Público Expresso para habilitar um pagamento fraudulento. Segundo os especialistas, um ataque semelhante pode ocorrer de forma descontrolada, transmitindo o código exclusivo e modificando um conjunto de variáveis.
Os pesquisadores também executaram os mesmos testes com cartões Mastercard, mas descobriram que a forma como a segurança deles funciona evitou o ataque.
Além disso, eles apontam que o ataque não parece “prático” em larga escala. Mesmo se um invasor conseguir explorá-lo, os bancos e as instituições financeiras têm outros mecanismos que impedem as fraudes, como destacado pela Visa:
Diversas variações de esquemas de fraude contactless foram estudadas em ambientes de laboratório por mais de uma década e provaram ser impraticáveis para execução em escala no mundo real. A Visa leva todas as ameaças à segurança muito a sério e trabalhamos incansavelmente para fortalecer a segurança dos pagamentos em todo o ecossistema.
Os pesquisadores disseram à BBC que comunicaram a Apple e a Visa sobre os achados há quase um ano, mas que, apesar de conversas “úteis”, o problema ainda não foi resolvido por completo.
via ZDNet