Serviços NFC são ameaçados por vulnerabilidades

Os riscos de utilizar o serviço NFC para realizar pagamentos

O pagamento de contas via smartphone está próximo de se tornar uma realidade para muitas pessoas. A ação de hackers, consequentemente, se intensifica cada vez mais neste tipo de serviço. O Google Wallet e a plataforma de pagamento chinês Alipay são os novos alvos de ataques de phishing. Essas formas populares de pagamentos apresentam falhas que podem ser exploradas em ataques de apps maliciosos. 

A vulnerabilidade acontece na hora de realizar o pagamento no aplicativo de terceiros, quando o usuário não imagina que um app de phishing pode aparecer no lugar do Google Wallet e do Alipay legítimos. Sem desconfiar da falsa tela, os usuários acabam inserindo seus dados e senhas.

Além de roubar as informações do cartão da vítima, o criminoso pode ir além, já que ele passará a ter acesso a todos os dados armazenados no dispositivo invadido. A conclusão se deu com base no exame realizado pela Trend Micro, empresa especializada em soluções de segurança.

Os pesquisadores informaram que as informações dos apps de pagamento para dispositivos móveis podem ser interceptadas por um aplicativo malicioso, por meio de um filtro de intenção de alta prioridade.

Para operações que envolvem o SDK afetado do Google Wallet, o aplicativo deve se comunicar com o Google Play no dispositivo para que possa notificar o usuário sobre o pagamento e, em seguida, solicitar a confirmação. No caso do SDK do IAP, nota-se uma intenção implícita, que pode ser interceptada. Isso significa que um aplicativo malicioso pode usar o mesmo filtro de intenção para exibir uma página de phishing.

O Alipay apresenta processo semelhante ao do Google Wallet. Após o usuário clicar no botão "pagar", o aplicativo se comunica com o app cliente do Alipay para que este mostre uma mensagem de confirmação. Como a falha presente no Google Wallet, a comunicação pode ser interceptada por um aplicativo malicioso usando o mesmo filtro de intenção. O app malicioso envia, então, sua própria mensagem em vez da mensagem legítima.

O grande problema é que as vítimas nem desconfiam que estejam sendo alvos de ataques. Como os aplicativos lidam com pagamentos, eles podem assumir que as mensagens são apenas relacionadas à intenção de confirmar a conta antes de prosseguir com o pagamento efetivo.

Sucesso do Wallet ainda não é o esperado

As várias vulnerabilidades encontradas no Google Wallet estão impedindo que o serviço da empresa decole. As falhas acontecem desde os primeiros passos do modo de pagamento.

Em 2012, o pesquisador Joshua Robin encontrou um erro no sistema e desenvolveu um aplicativo capaz de descobrir a senha de quatro dígitos necessária pra usar o serviço. Com essa senha, um criminoso poderia roubar os dados do usuário.

Para colocar esse plano em prática, porém, seria necessário instalar o aplicativo no aparelho e também instalar outro malware que desabilitasse o sistema de segurança do dispositivo, para que então o app malicioso rodasse e roubasse os dados da vítima.

Rubin afirmou que enviou sua descoberta ao Google, que teria confirmado a ele o problema e que o estaria resolvendo o mais breve possível. Segundo a empresa, a técnica foi feita em um aparelho próprio do pesquisador e os mecanismos de segurança estavam desabilitados, pois o celular tinha sido desbloqueado (root).

No mesmo ano foram detectadas vulnerabilidades que afetavam os cartões de pré-pagamento do serviço e a segurança do código PIN dos terminais. O criminoso, em posse de um cartão Google Prepaid, podia navegar pela interface de administração da aplicação e eliminar os dados da aplicação para o Google Wallet.  A vulnerabilidade consiste em que os dados do Prepaid permanecem no sistema. Após definir um novo número PIN, o hacker pode utilizar o cartão pré-pago como se fosse seu.

O Google afirmou estar a par de todos os problemas desde que eles começaram a surgir, e que trabalha para corrigir as falhas assim que elas são descobertas.