Vulnerabilidades identificadas em apps de pagamentos como Apple Pay, Samsung Pay e Google Pay podem permitir a invasores realizar compras não autorizadas de forma ilimitada, se exploradas. O alerta foi dado pelo pesquisador da Positive Technologies Timur Yunusov, na última semana.
Durante conferência realizada em Londres (Inglaterra), na quarta-feira (10), o especialista descreveu as principais falhas descobertas por sua equipe. Elas incluem erros de autenticação na carteira digital da Maçã e incompatibilidades em sistemas de pagamento de transporte público nos quais as carteiras digitais são aceitas, entre outras.
Segundo Yunusov, a possibilidade de realizar pagamentos usando QR Code e outras soluções para autorizar as transações, em vez da identificação biométrica que era padrão até 2019 nas plataformas, facilita o trabalho dos cibercriminosos. Um dos serviços que utiliza tais ferramentas é a função Transporte Público Expresso do Apple Pay.
O Apple Pay é uma das plataformas que apresenta as vulnerabilidades, segundo o pesquisador.Fonte: Apple/Divulgação
Com ela, o usuário consegue efetuar pagamentos sem contato em roletas de ônibus e metrô, mesmo se o iPhone estiver bloqueado. Explorando falhas presentes neste sistema, o pesquisador afirmou ter realizado várias transações maliciosas com os cartões cadastrados, inclusive com o celular desligado, feito também alcançado por especialistas de universidades britânicas.
O que dizem as empresas?
De acordo com a Positive Technologies, a Google, a Apple e a Samsung foram avisadas sobre as vulnerabilidades, mas disseram que não planejam nenhuma mudança em seus sistemas. Já Mastercard e Visa, cujos cartões são utilizados nos apps de pagamento, igualmente procuradas pela empresa, optaram por não se pronunciar.
Ao TechRepublic, um porta-voz da Visa, que seria a principal afetada pelos bugs, disse que o sistema é seguro e que as fraudes envolvendo pagamentos por NFC são “impraticáveis no mundo real”, devido às exigências para exploração das falhas.
Yusunov recomendou aos desenvolvedores da companhia financeira utilizar a autenticação de dados offline (ODA) nos terminais dos pontos de venda, para melhorar a segurança.
Categorias
