Pesquisadores das universidades de Surrey e Birmingham, no Reino Unido, demonstraram ao vivo uma falha no Apple Pay que permite cobrar qualquer valor de um iPhone bloqueado, sem que o dono autorize nada.
O ataque foi reproduzido pelo canal Veritasium em parceria com o youtuber MKBHD, que teve US$ 10.000 debitados do próprio cartão enquanto o celular estava virado para baixo, tela apagada, sem qualquer interação.
A falha combina a funcionalidade de Cartão Expresso para Transporte com uma lacuna no protocolo de segurança específico dos cartões Visa.
O que é o Cartão Expresso para Transporte
O Cartão Expresso para Transporte é uma funcionalidade do Apple Pay criada para facilitar o uso do celular em catracas de metrô e ônibus.
A ideia é simples: em vez de desbloquear o aparelho toda vez que você passa pela catraca, o iPhone detecta automaticamente o sinal do terminal de transporte e já autoriza o pagamento.
Sem Face ID, sem senha, sem nenhuma ação sua.
É um recurso prático, e faz sentido para o contexto. Ninguém quer segurar a fila do metrô na hora do rush.
O problema é que os pesquisadores descobriram qual é o sinal exato que uma catraca envia para o iPhone para acionar esse modo.
E aí reproduziram esse sinal com um equipamento próprio, enganando o aparelho.
Para o iPhone, era como se ele estivesse encostado numa catraca de metrô. Só que não estava.
Como o pagamento de US$ 10.000 passa sem verificação
Com o iPhone acreditando que está numa catraca, a primeira barreira já está derrubada: o aparelho não pede para ser desbloqueado.
Mas ainda existem outras duas proteções.
O iPhone diferencia transações de alto valor das de baixo valor, e exige confirmação do usuário nas mais altas. E o terminal de pagamento, ao receber a resposta do iPhone, verifica se essa confirmação realmente aconteceu.
Os pesquisadores contornam as duas.
Eles interceptam os dados trafegados pelo ar entre o iPhone e o terminal e alteram dois bits de informação: um que classifica o valor da transação como “baixo” (mesmo sendo US$ 10.000) e outro que indica ao terminal que o usuário já confirmou o pagamento (mesmo sem ter feito nada).
O banco recebe tudo certo, aprova, e o dinheiro sai.
Por que isso só acontece com Visa
Esse ataque não funciona com Mastercard.
A diferença está numa camada de segurança que o Mastercard exige em todas as transações: uma assinatura digital entre o cartão e o terminal que torna impossível adulterar os dados sem ser detectado.
Se alguém alterar qualquer informação no meio do caminho, a assinatura não bate e a transação é recusada.
O Visa só exige essa camada em situações específicas, como quando o terminal está offline (caso comum em metrôs subterrâneos).
Os pesquisadores garantem que o terminal esteja online durante o ataque, e com isso o Visa simplesmente não aciona a verificação mais robusta.
A brecha existe nessa combinação específica: iPhone com Cartão Expresso para Transporte configurado com um cartão Visa.
Com Android, também não funciona. Aparelhos Samsung, por exemplo, no modo de transporte aceitam apenas transações de valor zero por aproximação e cobram o total depois.
Um terminal tentando cobrar US$ 10.000 de uma vez seria rejeitado na hora.
O que Apple e Visa disseram
A Apple afirmou que o problema é da Visa.
A Visa admitiu que existe essa possibilidade, mas não dá muita importância ao problema.
Ela afirma que a fraude em escala real é improvável, que tem sistemas de detecção eficazes e que, se acontecer, o consumidor pode contestar a cobrança e será reembolsado.
A posição das duas empresas hoje é exatamente a mesma de 2021, quando a vulnerabilidade foi divulgada pela primeira vez. Quatro anos, zero mudanças.
O que torna a resposta da Visa particularmente difícil de aceitar é que a solução técnica já existe e já está em uso. O Mastercard resolve esse problema exigindo uma assinatura digital entre o cartão e o terminal em todas as transações, o que torna impossível adulterar os dados no caminho sem ser detectado.
A Visa poderia fazer o mesmo. Não é uma limitação técnica, é uma escolha.
Em vez de fechar a brecha, a Visa aponta para o baixo índice de fraudes por aproximação (2 centavos a cada 100 dólares em transações presenciais) e para a política de reembolso como resposta suficiente.
Mas isso coloca o ônus no consumidor: perceber a cobrança indevida, entrar em contato com o banco, contestar a transação e esperar.
Quem acorda com US$ 10.000 a menos na conta vai sentir o impacto antes de qualquer reembolso chegar.
Como se proteger
A solução mais direta é desativar o Cartão Expresso para Transporte no seu iPhone.
Para isso, vá em Ajustes > Carteira e Apple Pay > Cartão Expresso para Transporte > Nenhum.
Vale verificar porque esse recurso é ativado automaticamente quando você adiciona um cartão compatível ao Apple Pay, sem que você perceba.
Se você usa o Apple Pay com Mastercard apenas, não há risco por esta vulnerabilidade específica. Mas se tiver um cartão Visa configurado como cartão de transporte, o recomendado é agir agora.
O vídeo completo do Veritasium, com a demonstração ao vivo e a explicação técnica detalhada de como o ataque funciona, está logo abaixo.
