Técnica extremamente complexa é desafiadora de replicar em situações reais, mas expõe uma falha de segurança. Apple responsabiliza a Visa pelo problema; Visa alega que a probabilidade é muito baixa.
Uma vulnerabilidade no iPhone que possibilita o roubo de dinheiro de usuários mesmo com o celular bloqueado se tornou o foco de um vídeo viral no YouTube. Embora seja bastante difícil de ser explorada na prática durante transferências, a brecha de segurança é real.
O caso foi revelado pelo youtuber Veritasium, que contou com a participação do criador de conteúdo Marques Brownlee (MKBHD) para uma demonstração. No vídeo, Marques teve US$ 10 mil (aproximadamente R$ 50 mil na conversão direta) roubados com êxito do próprio aparelho apenas ao colocá-lo em uma máquina de cartões.
Nossos vídeos em destaque
A vulnerabilidade está relacionada ao método Tap to Pay, descoberto por pesquisadores em 2021 e envolve especificamente iPhones e a bandeira de cartões de crédito, a Visa.
Atualmente, o vídeo já acumula mais de 2 milhões de visualizações e também serve como um alerta, já que o problema persiste em sistemas operacionais e dispositivos modernos.
Hackers do Irã miram sistemas que controlam água, energia e fábricas nos EUA
Como roubar dinheiro de um iPhone?
O método detalhado por Veritasium foi inicialmente descrito por pesquisadores de cibersegurança da University of Surrey e da University of Birmingham, com o intuito de alertar sobre essa vulnerabilidade nas carteiras digitais do dispositivo.
- O roubo é possível quando a vítima passa o iPhone em um terminal de pagamento automático — como os utilizados em sistemas de transporte público para aquisição de bilhetes — que esteja adulterado;
- No método, o criminoso utiliza um cartão de leitura NFC que intercepta a comunicação entre o aparelho e o terminal, gerando uma transferência diferente da original — como o roubo de US$ 10 mil exemplificado no vídeo em vez do valor original da passagem;
- O leitor NFC, na realidade, está conectado a um notebook que recebe o pagamento e envia o valor para um segundo smartphone, que se torna o receptor da transferência;
- O esquema depende de uma série de variáveis: além da montagem complexa do leitor de cartão, o iPhone deve estar no Modo Expresso, que permite usar cartões e chaves de acesso sem desbloquear o dispositivo;
- Ademais, o cartão utilizado precisa ser da Visa, a única empresa afetada pela vulnerabilidade;
- O golpe não é efetivo em aparelhos com Android, pois o sistema operacional do Google tende a bloquear transferências consideradas baixas pelo terminal, mas que acabam sendo altas — ao contrário do iPhone, que apenas verifica se o pagamento é de uma quantia grande ou pequena para autorizar a transferência nessas circunstâncias.
O que dizem as empresas
Em um comunicado enviado ao youtuber, a Apple afirma que a responsabilidade é da Visa, uma vez que envolve os mecanismos de segurança do cartão cadastrado.
A Visa também se manifestou, afirmando que os clientes estão protegidos contra fraudes como essa, mesmo que a vulnerabilidade seja utilizada por agentes mal-intencionados. A empresa ressalta ainda que a exploração da brecha é “altamente improvável” em condições reais e que esse tipo de transferência golpista pode ser contestada, possivelmente resultando em um reembolso.