Segundo um pesquisador inglês, há uma aparente vulnerabilidade que pode ser usada para roubar dinheiro de um iPhone bloqueado quando um cartão Visa é configurado com o Apple Pay Express Transit. Um comentário da Sophos.
Conveniência e segurança em TI geralmente estão relacionadas de maneira semelhante à liberdade e segurança. Um só vem às custas do outro. Um exemplo atual é a funcionalidade "Express Transit" do Apple Pay: pequenos valores podem ser pagos convenientemente, apesar do código de bloqueio. Mas de acordo com os últimos relatórios, isso pode ser fatalmente explorado. Paul Ducklin, especialista em segurança da Sophos, explica o problema.
Pesquisador inglês encontra vulnerabilidade no iPhone
Um artigo ainda a ser publicado por pesquisadores do Reino Unido ganhou as manchetes no final de setembro por suas alegações dramáticas sobre o Apple Pay: uma aparente vulnerabilidade permite que dinheiro seja roubado de um iPhone bloqueado quando um cartão Visa é configurado com o Apple Pay Express Transit é .
Nunca ouviu falar do Express Transit? É uma daquelas ideias inteligentes que sacrificam a segurança cibernética por conveniência. Simplificando, esse recurso permite que alguns tipos de transações touch-to-pay sejam realizadas mesmo quando o telefone está bloqueado - desde que o Express Transit esteja ativado.
Princípio de pagamento do Apple Pay: pague sem aprovação adicional
Com o Express Transit, o Apple Pay e o iPhone funcionam um pouco como um cartão de crédito comum que não precisa ser desbloqueado com um código PIN para transações de baixo valor. Na maioria dos países europeus, este limite situa-se entre os 25 e os 50 euros.
Pagar via Express Transit via smartphone é igualmente fácil. Se for solicitada uma transação, basta um simples clique no smartphone bloqueado e o dinheiro já está com o destinatário. Este último clique pode acontecer facilmente de forma não intencional se o usuário rapidamente “clicar” em algo porque está interessado em outra coisa ou se esse clique for acionado despercebido por um estranho, por exemplo, em um café ou em um trem lotado. Porque ao contrário do cartão de crédito, que normalmente guarda na carteira e só retira quando o pagamento é efetivamente devido no terminal, o telemóvel está muito mais presente e visível, por exemplo numa mesa.
O pagamento desafia o código PIN, impressão digital ou reconhecimento facial
Para que o smartphone não seja mal utilizado, normalmente o bloqueamos com um código PIN ou um mecanismo de autenticação alternativo, como impressão digital ou reconhecimento facial. Infelizmente, os usuários continuam desbloqueando os recursos do telefone na tela de bloqueio, reduzindo a segurança que a tela de bloqueio foi projetada para fornecer em primeiro lugar - seja mostrando notificações e mensagens pessoais enquanto o telefone está bloqueado ou não para aproveitar o uso do Recurso Apple Pay Express Transit.
Os pesquisadores por trás do trabalho ainda a ser publicado agora afirmam que foram capazes de induzir os iPhones a fazer pagamentos fraudulentos em circunstâncias cuidadosamente preparadas. Eles montaram seu próprio terminal de pagamento e o disfarçaram como a empresa de transporte público que fazia parte do sistema de pagamento Express Transit.
Os pesquisadores provavelmente deduziram até 1.000 euros!
Aparentemente, eles só conseguiram roubar com contas de cartão Visa (presumivelmente outros provedores de pagamento foram mais rigorosos ao decidir se o terminal de pagamento X realmente pertencia à empresa Y), e pior ainda: os pagamentos não foram limitados pelo limite usual de cerca de 50 euros. Os pesquisadores afirmam que, usando um terminal de pagamento fraudulento, conseguiram fazer transações de até € 1.000.
Apple Pay Express Transit: o que fazer?
Apesar desse resultado dramático, os proprietários de iPhone não precisam entrar em pânico, mas o relatório é um motivo para reconsiderar o uso de seus próprios smartphones. Em geral, os usuários devem pensar duas vezes sobre as exceções que permitem no telefone bloqueado. É realmente um fardo ter que inserir o código de bloqueio a cada ação? Se você responder sim, terá que conviver com os riscos. Para todos os outros que se sentem mais seguros com um processo de desbloqueio, aqui estão mais algumas dicas:
- Dispensando o Express Transit e todos os outros recursos ativos na tela de bloqueio. Essas opções inevitavelmente sacrificam a segurança pela conveniência.
- O Express Transit em conjunto com um cartão Visa deve ser evitado por enquanto. Para ser justo com a Visa, presumimos que, com esforço suficiente, truques de desvio semelhantes também podem ser encontrados para outros provedores de pagamento. Se você está realmente preocupado e não consegue viver sem o Express Transit, deve configurar um cartão de débito pré-pago com saldo moderado. Pelo menos então um roubo só é possível para o crédito e não para a linha de crédito de um cartão de crédito.
- Nunca deixe seu telefone sem vigilância e só o tire quando estiver usando. Caso contrário, segure-o na mão ou guarde-o no bolso.
- Deve-se usar o melhor código de bloqueio possível e o menor período de bloqueio automático. Um telefone bloqueado é um pequeno inconveniente, mas um grande obstáculo para os golpistas, até mesmo para os especialistas em tecnologia. Um telefone desbloqueado, por outro lado, é um alvo aberto para qualquer um, até mesmo o mais simples dos pequenos criminosos.
- Verifique os extratos bancários e do cartão de pagamento regularmente. Ao usar o Express Transit para pagamentos regulares e previsíveis, por exemplo, em transporte público, é fácil identificar reservas anormais.
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.