João Paes
RedatorEscreve sobre tecnologia, games e cultura pop há mais de 10 anos, tendo se interessado por tudo isso desde que abriu o primeiro computador (há muito mais de 10 anos).
No mundo dos pagamentos por aproximação — aquela encostada rápida que virou hábito, no restaurante, no caixa da padaria e até em alguns transportes públicos — a impressão geral é que tudo funciona como mágica. Mas, como em toda mágica boa demais para ser verdade, sempre existe um truque escondido. E agora, pesquisadores britânicos descobriram que esse truque pode ser bem arriscado.
Um estudo liderado pela Universidade de Surrey, em parceria com a Universidade de Birmingham, revelou que novos recursos adicionados ao padrão EMV — a espinha dorsal dos pagamentos sem contato usados por Visa, Mastercard, Apple Pay, Google Pay e outros do tipo — estão abrindo brechas capazes de comprometer a segurança de milhões de usuários. E não estamos falando de bugs teóricos: os pesquisadores realmente conseguiram burlar terminais modernos e realizar transações de alto valor sem autorização.
O trabalho, apresentado no 34º Simpósio de Segurança USENIX e com presença garantida na DEFCON 2025, mostrou como proteções consideradas sólidas podiam ser contornadas com certa facilidade em PoS offline — como as máquinas usadas em lojas, restaurantes, táxis e outros lugares onde a conexão nem sempre é constante. Em um dos experimentos, a equipe conseguiu completar uma transação de impressionantes £25.000 em um terminal configurado para operar offline. Sem biometria, sem PIN, sem nada além de um encaixe muito conveniente entre brechas de software e regras frouxas.
O problema, segundo os pesquisadores, nasce da soma de pequenas conveniências: leitores preparados para pagamentos rápidos no transporte público, regras especiais de PIN em cenários específicos, permissões diferenciadas entre cartão físico e carteira digital e alguns outros detalhes que, isolados, funcionam para facilitar a vida de quem está na correria do dia a dia. Juntas, porém, podem interagir de forma insegura e abrir portas para fraudes.
E essas portas não são pequenas. A equipe demonstrou ataques capazes de fazer terminais acreditarem que um cartão físico era, na verdade, um smartphone — liberando pagamentos que deveriam exigir biometria. Em outros cenários, valores acima do limite eram aprovados como se estivessem completamente dentro das regras. É o tipo de coisa que, nas mãos erradas, se torna um grande golpe, conhecido como “ataques de almoço grátis", onde o fraudador sai com produtos caros enquanto o comerciante fica com o prejuízo.
A professora Ioana Boureanu, uma das líderes do estudo, resume bem o dilema: “a pressa em adicionar novos recursos para melhorar a experiência de compra às vezes tem como custo a segurança”. Em um momento em que pagamentos sem contato se tornaram padrão global, a corrida pela conveniência pode gerar exatamente o efeito contrário — sistemas mais complexos, mais frágeis e mais difíceis de proteger.
A boa notícia é que os pesquisadores já notificaram fabricantes, provedores e demais envolvidos. Segundo Tom Chothia, também integrante da equipe, o trabalho conjunto agora é fundamental para fechar essas lacunas e reforçar o padrão EMV para os próximos anos.
A tecnologia de pagamentos evoluiu rápido demais para que a segurança acompanhasse no mesmo ritmo. Conveniência é sempre bem-vinda — mas, quando mal coordenada, pode sair cara demais, como o estudo deixa claro.
Crédito de imagem: Oscar Wong via Getty Images.
Ver 0 Comentários