Pesquisadores do Reino Unido descobriram uma falha no Apple Pay que permite que os hackers realizem pagamentos sem contato a partir do seu iPhone. Os integrantes do grupo da University of Birmingham e da University of Surrey publicaram um artigo na quinta-feira (30) descrevendo o método pelo qual essa falha pode ser explorada. Os hackers podem até mesmo ignorar a tela de bloqueio de um iPhone.

O recurso Express Transit que a Apple introduziu pela primeira vez no iOS 12.3 parece ser o culpado. Com ele, o usuários pode pagar rapidamente por viagens em transporte público com um cartão no aplicativo Wallet. Mas não preciso fazer a validação com Face ID, Touch ID ou uma senha. Com a conveniência, veio a brecha na segurança.

Como explicam os pesquisadores, os leitores de tíquetes transmitem uma sequência não padrão de bytes que são capazes de contornar a tela de bloqueio do iPhone. Ao imitar um leitor de ingressos, os pesquisadores conseguiram enganar o Apple Pay para que processasse pagamentos sem contato — ainda que só tenham conseguido isso com cartões Visa.

Os pesquisadores conseguiram usar um leitor para fazer pagamentos fraudulentos de qualquer valor a partir de um iPhone bloqueado. Eles testaram até £ 1000 (cerca de R$ 7.200), mas pode não haver um limite.

Por enquanto, nem a Apple nem a Visa se pronunciaram oficialmente sobre a situação, nem parecem estar conduzindo uma solução para a falha.

E você, já teve problemas de segurança com apps de pagamentos? Deixe seu comentário!