Falha de segurança do metrô de Nova York aparentemente expõe a vulnerabilidade do Apple Pay

falha-de-seguranca-do-metro-de-nova-york-aparentemente-expoe-a-vulnerabilidade-do-apple-pay

Uma falha na segurança do metrô de Nova York foi revelada, permitindo que qualquer pessoa com conhecimento do número do cartão de crédito e da data de validade de um usuário rastreie todas as viagens feitas nos últimos sete dias. Mas o que é muito mais preocupante é que a vulnerabilidade se aplica a viagens em que o Apple Pay foi usado para acessar estações, apesar do fato de que isso deveria ser completamente impossível.

Apple Pay Express Transit no metrô de Nova York

Embora a maioria dos sistemas de metrô tenham começado exigindo cartões de transporte dedicados, a maioria agora também aceita cartões de pagamento sem contato, o que também permite o uso do Apple Pay. Para agilizar ainda mais o processo de passagem pelas barreiras de entrada e saída, a Apple lançou posteriormente o Apple Pay Express Transit.

Se você optar por ativar o recurso, o processo normal de autenticação do Apple Pay, usando Face ID com seu iPhone ou pressionando duas vezes o botão lateral em seu Apple Watch desbloqueado, não será necessário. Em vez disso, você pode simplesmente tocar seu telefone ou assistir no painel de pagamento sem contato.

Embora isto possa permitir a utilização indevida no caso de alguém tomar posse física do seu dispositivo, as transações são monitorizadas para garantir que os padrões de utilização são consistentes com a utilização normal por um único utilizador, pelo que o risco de fraude é muito baixo. Todos os outros recursos de segurança do Apple Pay ainda devem ser aplicados, incluindo códigos de uso único.

O sistema de metrô da cidade de Nova York começou a implementar o Apple Pay Express Transit em maio de 2019 e estava disponível em todas as estações no final de 2020.

Falha na segurança do metrô de Nova York

O sistema de metrô de Nova York é administrado pela Metropolitan Transportation Authority (MTA). Embora o site do MTA ofereça a capacidade de abrir uma conta, que requer autenticação para acessar os registros de viagem, ele também oferece acesso instantâneo aos últimos sete dias do histórico de viagens usando nada mais do que detalhes do cartão.

São necessários apenas o número do cartão de crédito e a data de validade, nem mesmo o código de segurança de três ou quatro dígitos, também conhecido como CSC, CVC ou CCV, que geralmente é encontrado no verso dos cartões de pagamento físicos. Isso significa que tudo o que você precisa para acessar as viagens da última semana pode ser encontrado na frente da maioria dos cartões de pagamento.

A 404Media confirmou essa falha de privacidade no metrô de Nova York rastreando um usuário, com permissão, usando nada mais do que os detalhes do cartão de crédito.

De alguma forma, as jornadas do Apple Pay também estão expostas

O Apple Pay foi projetado para oferecer proteção contra esse tipo de falha. Em vez de os dados reais do seu cartão de pagamento serem transmitidos para um terminal de pagamento, um código de uso único é substituído, conhecido como criptograma de pagamento, juntamente com um número de dispositivo.

O banco ou a financeira são capazes de reconciliar algoritmicamente esses dois números com a conta real do cartão, mas nem a Apple nem o comerciante devem ter acesso aos detalhes do seu cartão de pagamento.

Nesse caso, o comerciante é o MTA e não deverá conseguir ver o número real do seu cartão de pagamento. Mesmo assim, o site descobriu que inserir o número do cartão de pagamento físico do alvo ainda revelava todas as viagens que eles fizeram usando o Apple Pay.

A 404 Media descobriu que o recurso de histórico de viagens do MTA ainda funciona mesmo quando o usuário paga com Apple Pay.

A Apple disse à 404 Media que não armazena nem tem acesso aos números dos cartões usados ??e não os fornece aos comerciantes, incluindo sistemas de trânsito.

A Apple disse que não compartilha o número real do cartão. O Provedor de Serviços de Token da rede de pagamento/emissor mapeia o Número da Conta do Dispositivo para o número do cartão. Para melhorar a privacidade, neste caso, deveria ser obrigatória a realização de uma Autenticação Forte do Cliente (SCA), como é obrigatória para pagamentos na Europa com PSD2 para esta capacidade de pesquisa de transações.

“Esse recurso foi criado para ajudar nossos clientes que desejam acessar seus históricos de viagens tap-and-go, pagos e gratuitos, sem a necessidade de criar uma conta OMNY”, escreveu o porta-voz do MTA, Eugene Resnick, em um comunicado ao Engadget. “Como parte do compromisso contínuo do MTA com a privacidade do cliente, desativamos esse recurso enquanto avaliamos outras formas de atender esses clientes.”

Isso ainda deixa sem resposta a questão de como as transações do Apple Pay revelaram números de cartões físicos. Alguns sugeriram que o Transporte Expresso é uma exceção à abordagem de código único, a fim de rastrear a entrada e a saída em sistemas de metrô com barreiras em ambas as extremidades. No entanto, isto não faz sentido, pois o número do dispositivo seria suficiente para este propósito.

Via: 9to5Mac
Acesse a versão completa
Sair da versão mobile