{"id":4839,"date":"2014-09-16T11:00:00","date_gmt":"2014-09-16T14:00:00","guid":{"rendered":"https:\/\/www.psafe.com\/blog\/servicos-nfc-sao-ameacados-por-vulnerabilidades"},"modified":"2021-09-20T15:58:15","modified_gmt":"2021-09-20T18:58:15","slug":"servicos-nfc-sao-ameacados-por-vulnerabilidades","status":"publish","type":"post","link":"https:\/\/www.psafe.com\/blog\/servicos-nfc-sao-ameacados-por-vulnerabilidades\/","title":{"rendered":"Servi\u00e7os NFC s\u00e3o amea\u00e7ados por vulnerabilidades"},"content":{"rendered":"<p>O pagamento de contas via smartphone est\u00e1 pr\u00f3ximo de se tornar uma realidade para muitas pessoas. A a\u00e7\u00e3o de hackers, consequentemente, se intensifica cada vez mais neste tipo de servi\u00e7o. O Google Wallet e a plataforma de pagamento chin\u00eas Alipay s\u00e3o os novos alvos de ataques de phishing. Essas formas populares de pagamentos apresentam falhas que podem ser exploradas em ataques de apps maliciosos.&nbsp;<\/p>\n<p>A vulnerabilidade acontece na hora de realizar o pagamento no aplicativo de terceiros, quando o usu\u00e1rio n\u00e3o imagina que um app de phishing pode aparecer no lugar do Google Wallet e do Alipay leg\u00edtimos. Sem desconfiar da falsa tela, os usu\u00e1rios acabam inserindo seus dados e senhas.<\/p>\n<p>Al\u00e9m de roubar as informa\u00e7\u00f5es do cart\u00e3o da v\u00edtima, o criminoso pode ir al\u00e9m, j\u00e1 que ele passar\u00e1 a ter acesso a todos os dados armazenados no dispositivo invadido. A conclus\u00e3o se deu com base no exame realizado pela Trend Micro, empresa especializada em solu\u00e7\u00f5es de seguran\u00e7a.<\/p>\n<p>Os pesquisadores informaram que as informa\u00e7\u00f5es dos apps de pagamento para dispositivos m\u00f3veis podem ser interceptadas por um aplicativo malicioso, por meio de um filtro de inten\u00e7\u00e3o de alta prioridade.<\/p>\n<p>Para opera\u00e7\u00f5es que envolvem o SDK afetado do Google Wallet, o aplicativo deve se comunicar com o Google Play no dispositivo para que possa notificar o usu\u00e1rio sobre o pagamento e, em seguida, solicitar a confirma\u00e7\u00e3o. No caso do SDK do IAP, nota-se uma inten\u00e7\u00e3o impl\u00edcita, que pode ser interceptada. Isso significa que um aplicativo malicioso pode usar o mesmo filtro de inten\u00e7\u00e3o para exibir uma p\u00e1gina de phishing.<\/p>\n<p>O Alipay apresenta processo semelhante ao do Google Wallet. Ap\u00f3s o usu\u00e1rio clicar no bot\u00e3o &#8220;pagar&#8221;, o aplicativo se comunica com o app cliente do Alipay para que este mostre uma mensagem de confirma\u00e7\u00e3o. Como a falha presente no Google Wallet, a comunica\u00e7\u00e3o pode ser interceptada por um aplicativo malicioso usando o mesmo filtro de inten\u00e7\u00e3o. O app malicioso envia, ent\u00e3o, sua pr\u00f3pria mensagem em vez da mensagem leg\u00edtima.<\/p>\n<p>O grande problema \u00e9 que as v\u00edtimas nem desconfiam que estejam sendo alvos de ataques. Como os aplicativos lidam com pagamentos, eles podem assumir que as mensagens s\u00e3o apenas relacionadas \u00e0 inten\u00e7\u00e3o de confirmar a conta antes de prosseguir com o pagamento efetivo.<\/p>\n<h2><strong>Sucesso do Wallet ainda n\u00e3o \u00e9 o esperado<\/strong><\/h2>\n<p><img decoding=\"async\" style=\"height: 340px; width: 770px;\" src=\"https:\/\/s.psafe.com.br\/blog\/google-wallet_2014-09-12.jpg\" alt=\"\"\/><\/p>\n<p>As v\u00e1rias vulnerabilidades encontradas no Google Wallet est\u00e3o impedindo que o servi\u00e7o da empresa decole. As falhas acontecem desde os primeiros passos do modo de pagamento.<\/p>\n<p>Em 2012, o pesquisador Joshua Robin encontrou um erro no sistema e desenvolveu um aplicativo capaz de descobrir a senha de quatro d\u00edgitos necess\u00e1ria pra usar o servi\u00e7o. Com essa senha, um criminoso poderia roubar os dados do usu\u00e1rio.<\/p>\n<p>Para colocar esse plano em pr\u00e1tica, por\u00e9m, seria necess\u00e1rio instalar o aplicativo no aparelho e tamb\u00e9m instalar outro malware que desabilitasse o sistema de seguran\u00e7a do dispositivo, para que ent\u00e3o o app malicioso rodasse e roubasse os dados da v\u00edtima.<\/p>\n<p>Rubin afirmou que enviou sua descoberta ao Google, que teria confirmado a ele o problema e que o estaria resolvendo o mais breve poss\u00edvel. Segundo a empresa, a t\u00e9cnica foi feita em um aparelho pr\u00f3prio do pesquisador e os mecanismos de seguran\u00e7a estavam desabilitados, pois o celular tinha sido desbloqueado (root).<\/p>\n<p>No mesmo ano foram detectadas vulnerabilidades que afetavam os cart\u00f5es de pr\u00e9-pagamento do servi\u00e7o e a seguran\u00e7a do c\u00f3digo PIN dos terminais. O criminoso, em posse de um cart\u00e3o Google Prepaid, podia navegar pela interface de administra\u00e7\u00e3o da aplica\u00e7\u00e3o e eliminar os dados da aplica\u00e7\u00e3o para o Google Wallet.&nbsp; A vulnerabilidade consiste em que os dados do Prepaid permanecem no sistema. Ap\u00f3s definir um novo n\u00famero PIN, o hacker pode utilizar o cart\u00e3o pr\u00e9-pago como se fosse seu.<\/p>\n<p>O Google afirmou estar a par de todos os problemas desde que eles come\u00e7aram a surgir, e que trabalha para corrigir as falhas assim que elas s\u00e3o descobertas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Os riscos de utilizar o servi\u00e7o NFC para realizar pagamentos<\/p>\n","protected":false},"author":114,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_crdt_document":"","ngg_post_thumbnail":0,"footnotes":""},"categories":[5],"tags":[],"class_list":["post-4839","post","type-post","status-publish","format-standard","hentry","category-ciberseguranca"],"_links":{"self":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts\/4839","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/users\/114"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/comments?post=4839"}],"version-history":[{"count":0,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts\/4839\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/media?parent=4839"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/categories?post=4839"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/tags?post=4839"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}