Uma falha no Apple Pay e na rede Visa tornou desconcertantemente fácil roubar US$ 10.000 do MKBHD como parte de um vídeo de demonstração. Veja como funciona o golpe.
A cena é alucinante. MKBHD, o famoso YouTuber de tecnologia, é convidado do canal Veritasium. Ele larga o iPhone bloqueado (este é um detalhe muito importante) na área de trabalho. Ao seu lado, o apresentador Henry van Dyck está equipado com um MacBook, um terminal de pagamento, um smartphone Android e uma caixinha intrigante.
Sem qualquer interação com o iPhone, o apresentador consegue, de uma só vez, roubar US$ 10.000 do MKBHD sob o olhar atordoado deste último. Embora seja o smartphone Android que é apresentado ao terminal de pagamento, é o iPhone que recebe a notificação de pagamento. E a transação é processada da forma mais normal possível pelo Apple Pay, que exibe esse valor exorbitante em seu histórico como se fosse uma compra do dia a dia.
“ É apenas verde. Aprovado », comenta MKBHD. “ Uau, funcionou », pergunta-se de imediato, ainda atordoado com o que acaba de ver. “ Sem desbloquear meu telefone, essa é a verdadeira magia. É uma loucura “.
E algo importante a salientar: este esquema só pode ter como alvo o Apple Pay que aqui acaba por ser menos seguro do que as soluções de pagamento móvel disponíveis no Android.
Como funciona esse golpe?
Para entender como funciona esse golpe, vamos lembrar o que acontece quando você paga sem contato com seu smartphone. Quando você aproxima seu telefone do terminal de pagamento, os dois dispositivos compartilham um campo magnético que permite a troca de dados sem fio.
Todo o princípio do golpe consiste em interceptar esses dados e manipulá-los. Para conseguir esse feito, a Veritasium coloca o iPhone MKBHD em uma caixa NFC chamada Proxmark. Ele está conectado a um laptop no qual é executado um script Python projetado em colaboração com dois especialistas em segurança cibernética: Ioana Boureanu, da Universidade de Surrey, e Tom Chothia, da Universidade de Birmingham.
É este script Python que permitirá modificar de forma rápida e automática os dados da transação. O computador, por sua vez, envia esses dados para o telefone Android que é apresentado ao terminal de pagamento.
Em última análise, o leitor de cartão e o iPhone acreditam que estão se comunicando diretamente. Na realidade, os dados foram desviados e falsificados através de diversas etapas. Este é o princípio de um tipo de golpe homem no meio (“ o homem do meio » em francês).
Mas obviamente não para por aí. Como explica Henry van Dyck, da Veritasium, durante todo esse processo, existem na verdade três grades de proteção que precisam ser contornadas uma por uma.
Desbloquear iPhone
Primeiro, você precisa fazer com que o Apple Pay aceite uma transação sem precisar desbloquear o iPhone. Para isso, a Veritasium conta com o modo Express implantado pela Apple em 2019.
Este último permite simplificar a utilização da Apple Wallet na hora de apanhar o metro “ sem precisar reativar ou desbloquear seu dispositivo, ou autenticar com Face ID, Touch ID ou sua senha “. Em diversas cidades é possível pagar diretamente nas catracas ou barreiras de segurança.
Para isso, o leitor de cartão envia um sinal indicando que se trata de um terminal dedicado ao pagamento de passagem de transporte e o iPhone então entende que não deve solicitar autenticação para não atrasar o usuário nos corredores lotados de uma estação.
Porém, os dois especialistas, Ioana Boureanu e Tom Chothia, deslocaram-se ao metro de Londres para analisar as informações trocadas naquele momento entre o terminal e o iPhone para poder imitá-las e reproduzi-las.
Assim, quando você coloca o iPhone na caixa NFC da Proxmark, esta pode fingir ser uma catraca de metrô e dizer ao iPhone que, portanto, não precisa ser desbloqueado para a próxima transação.
Mentir sobre o valor da transação
Depois que essa primeira barreira for ultrapassada, você terá que mentir sobre a quantidade de dinheiro. Ao efetuar um pagamento sem contato, os valores são divididos em duas categorias.
- Valor baixo: nenhuma identificação solicitada ao usuário.
- Alto valor: autenticação exigida por leitor de impressão digital, reconhecimento facial ou código PIN.
Para realizar o roubo, a equipe do Veritasium deve, portanto, fazer as pessoas acreditarem por telefone que US$ 10.000 é um valor baixo. Como fazer isso?
Para entender, é preciso lembrar que o iPhone não olha diretamente o valor da transação. Para interpretar as informações da transação, ele se baseia em um código binário (sequência de 0s e 1s).
Nesta sequência de números existe um que permite saber se é um valor baixo ou alto. Você tem que ver isso como uma mudança.
- 0 = valor baixo.
- 1 = valor alto.
Um número simples, sim. Isto ocorre porque o limite além do qual uma quantia de dinheiro é considerada elevada varia de país para país. Este método de um dígito proporciona aos sistemas de pagamento a flexibilidade necessária para conciliar estes diferentes padrões e moedas em todo o mundo.
Graças ao sistema implementado, a Veritasium pode, portanto, interceptar as informações enviadas pelo terminal de pagamento, substituir 1 por 0 usando o script executado no laptop e fazer o iPhone acreditar que US$ 10.000 representam uma compra de baixo valor.
Armadilhar o terminal de pagamento
A última etapa é interceptar o terminal de pagamento. Com efeito, como o iPhone pensa que está a realizar uma transação de pequeno valor num terminal de metro, inclui, na informação enviada ao leitor de cartão, que a operação não foi verificada.
Ao saber disso, o leitor do cartão deverá recusar o pagamento. Contudo, aqui novamente, como todas as comunicações são interceptadas, o script Veritasium ainda pode intervir no código binário.
Aqui, novamente, envolve substituir 0 por 1 e enviar essa informação ao leitor de cartão. Em outras palavras, modificamos a mensagem para fazer o terminal acreditar que o iPhone está contando “ está bom, está tudo em ordem, foi solicitada identificação “.
Esta informação falsa é transmitida ao banco que por sua vez acredita que a transação foi devidamente verificada e autoriza o envio do dinheiro. “ O único limite é o valor que a pessoa tem na conta bancária », Diz o especialista Tom Chothia.
Todos os dados interceptados desta forma são fáceis de manipular, pois não são criptografados. Isso ocorre porque o método de comunicação entre telefones e terminais deve ser compatível com uma infinidade de dispositivos ao redor do mundo e seria impossível atualizá-los simultaneamente.
Apple Pay e Visa: a combinação fatal
Tenha cuidado, porém, é importante ressaltar que esse golpe só funciona se a vítima utilizar Apple Pay e cartão Visa. “ É realmente uma técnica que nasce da forma como combinamos Apple e Visa », explica a especialista Ioana Boureanu.
Normalmente, ao nível dos smartphones, cartões e terminais, outros mecanismos de defesa são ativados e ajudam a prevenir esta fraude. É no caso específico de uma combinação Apple e Visa que apenas três barreiras de segurança precisam de ser contornadas.
Vamos começar com o Apple Pay. Quando dizemos que o telefone não sabe o valor da transação e só sabe se é um valor baixo ou alto, isso só vale para a solução da Apple.
Como explica o apresentador do vídeo, um smartphone Samsung que também utilizasse modo expresso no metro, na realidade só aceitará transações de 0 euros. Em seguida, ele usa os terminais do metrô para contar o número de vezes que você usou o transporte público e, em seguida, aciona o pagamento de uma só vez no final do dia. Portanto, não basta trocar 1 por 0 para enganá-lo.
Em relação à Visa, você deve saber que cada transação bancária está sujeita a inúmeras trocas de informações e criptografia de dados. No entanto, redes como Mastercard ou CB aplicam uma camada adicional de segurança entre o cartão e o terminal de pagamento, mas que não é encontrada no Visa.
Leia também:
Rede CB: entenda tudo sobre a alternativa francesa ao Visa e Mastercard
Resposta da Visa
Note-se ainda que a falha foi descoberta em 2021, mas sem ser corrigida. Um porta-voz da Visa defende-se no vídeo explicando que esta falha não parece ser explorável em grande escala. E que, caso uma pessoa fosse vítima de tal golpe, poderia facilmente obter o reembolso do seu banco.
Obviamente torcendo para que isso não aconteça com ninguém.