Falha em Apple Pay e Visa permite roubo silencioso de qualquer valor sem desbloquear o iPhone e a brecha existe há cinco anos
AGÊNCIA DE COMUNICAÇÃO Conteúdo de responsabilidade da empresa 14 de maio de 2026
Por que duas das maiores empresas de tecnologia e finanças do mundo ainda não corrigiram uma vulnerabilidade capaz de esvaziar sua conta bancária enquanto seu celular está no bolso?
——————————————————————————–
São Paulo, maio de 2026 — Imagine que alguém passe por você em uma fila de metrô, aproxime discretamente um dispositivo do tamanho de um cartão ao seu bolso e, segundos depois, realize uma cobrança de R$ 50.000 no seu cartão Visa vinculado ao Apple Pay — tudo isso sem que você tenha desbloqueado o iPhone, digitado uma senha ou percebido qualquer coisa. Esse cenário não é ficção científica. É um ataque documentado, reproduzido em laboratório e publicado em um dos mais respeitados congressos de segurança do mundo desde 2021.
——————————————————————————–
A pesquisa foi conduzida por especialistas das universidades de Birmingham e Surrey, no Reino Unido, e apresentada no IEEE Symposium on Security and Privacy 2022, sob o título “Practical EMV Relay Protection”. O paper demonstra, com prova de conceito completa, como um atacante pode interceptar, modificar e retransmitir os dados NFC de um iPhone com cartão Visa em modo de transporte expresso para realizar pagamentos de qualquer valor — sem nenhuma interação do usuário.
Como o ataque funciona: três mentiras e um pagamento aprovado
Para o advogado especialista em Direito Digital e crimes cibernéticos Dr. Jonatas Lucena, com mais de 20 anos de atuação e escritório na Avenida Paulista, em São Paulo, a gravidade da falha reside justamente em sua sofisticação jurídica e técnica combinadas. “Estamos diante de uma vulnerabilidade que não exige senha, biometria ou qualquer ação da vítima. Do ponto de vista jurídico, isso levanta questões sérias sobre responsabilidade civil e a eficácia das políticas de estorno das bandeiras”, afirma o Dr. Jonatas Lucena.
——————————————————————————–
——————————————————————————–
O ataque é classificado tecnicamente como Man-in-the-Middle via NFC, e opera em três camadas:
——————————————————————————–
1. O modo expresso como porta de entrada A Apple criou o recurso “Express Transit” para facilitar pagamentos em sistemas de transporte público, catracas de metrô e ônibus sem exigir desbloqueio do aparelho. Os pesquisadores identificaram o código específico que os leitores de transporte enviam ao iPhone para acionar este modo. Com um dispositivo chamado Proxmark comercialmente acessível, custando menos de US$ 300 o atacante replica esse código, fazendo o iPhone “acreditar” que está numa catraca de metrô.
——————————————————————————–
2. A manipulação do bit de valor Transações acima de determinado limite normalmente exigem verificação do titular (biometria ou PIN). Porém, o protocolo EMV não transmite o valor numérico da transação para essa verificação ele transmite apenas um único bit: “0” para baixo valor, “1” para alto valor. O script em Python intercepta essa informação e altera o bit para “0”, fazendo o iPhone aprovar uma transação de R$ 50.000 como se fosse o valor de uma passagem de ônibus.
——————————————————————————–
3. A falsificação da verificação do cliente Quando o iPhone responde ao leitor, ele informa que aprovou a transação, mas que não houve verificação do titular. Leitores de cartão normais rejeitariam esse pagamento. O ataque intercepta essa resposta e altera o bit de verificação para indicar que a autenticação foi realizada com sucesso. O leitor aceita, envia ao banco, e a transação é processada.
Por que só iPhone + Visa?
A combinação específica não é coincidência. Outros fabricantes como Samsung verificam o valor numérico real da transação antes de aprová-la no modo de transporte, tornando o ataque inviável. A Mastercard, por sua vez, exige criptografia assimétrica RSA com assinatura digital em todas as transações: qualquer alteração em um único byte invalida a assinatura, e o leitor rejeita imediatamente.
——————————————————————————–
A Visa, ao contrário, não exige essa assinatura em transações online quando o leitor está conectado à internet e pode consultar os sistemas de antifraude da bandeira em tempo real. Os pesquisadores mantiveram o leitor online deliberadamente para explorar exatamente essa lacuna.
Empresas reconhecem, mas não corrigem
Segundo o paper acadêmico, a Apple foi notificada em outubro de 2020, e a Visa em maio de 2021. Ambas reconheceram a gravidade do problema. A Apple afirmou, em reunião com os pesquisadores, que considerava a vulnerabilidade séria, mas que a responsabilidade pela correção seria da Visa. A Visa, por sua vez, declarou que mecanismos de antifraude no back-end seriam acionados caso necessário mas os próprios pesquisadores realizaram o ataque repetidas vezes, com valores elevados, do mesmo cartão,sem jamais serem bloqueados.
——————————————————————————–
Para o Dr. Jonatas Lucena, a postura das empresas é preocupante sob a ótica do direito do consumidor brasileiro. “A política de ‘responsabilidade zero’ da Visa pode parecer uma proteção, mas ela não elimina o dano imediato: a vítima vê dinheiro desaparecer da conta, precisa contestar a transação, aguardar o prazo de análise e ainda lidar com o estresse emocional e financeiro. No Brasil, isso configura dano moral passível de reparação, especialmente quando a empresa tem conhecimento prévio do risco e não age”, explica o advogado.
O cenário real de exploração
O ataque não requer invasão física ao dispositivo da vítima. Basta proximidade em metrôs, aeroportos, estádios, elevadores ou qualquer ambiente urbano de alta densidade. Com o equipamento correto, o atacante pode operar a metros de distância, utilizando um segundo dispositivo para realizar o pagamento em um terminal legítimo.
——————————————————————————–
——————————————————————————–
Os pesquisadores testaram o ataque em múltiplos indivíduos e valores, incluindo transações equivalentes a R$ 50.000. Todos foram aprovados. Em tese, o limite é o crédito disponível no cartão.
O que você pode fazer agora
Enquanto Apple e Visa não implementam uma solução técnica definitiva, os pesquisadores recomendam formalmente que usuários não utilizem cartões Visa como cartão de transporte no Apple Pay. Em caso de perda ou roubo do iPhone, ative imediatamente o Modo Perdido e entre em contato com o banco para bloqueio preventivo do cartão.
——————————————————————————–
O Dr. Jonatas Lucena reforça a recomendação e acrescenta a dimensão jurídica: “Qualquer consumidor que identifique cobranças indevidas deve registrar boletim de ocorrência imediatamente, guardar todos os extratos e acionar tanto a operadora do cartão quanto o banco emissor. A legislação brasileira, o Código de Defesa do Consumidor e a Lei Geral de Proteção de Dados oferecem instrumentos concretos para responsabilização. Não hesite em procurar assessoria jurídica especializada.”
——————————————————————————–
Uma questão de escolha, não de impossibilidade
A falha técnica tem solução conhecida: a Mastercard já a implementa. A Visa e a Apple optaram por não fazê-lo. Quando uma vulnerabilidade ativa, documentada e reproduzível permanece sem correção por mais de cinco anos, deixa de ser um problema de engenharia e passa a ser uma decisão de negócios com consequências jurídicas e éticas que as empresas precisarão responder.
——————————————————————————–
——————————————————————————–
O Dr. Jonatas Lucena é advogado especialista em Direito Digital e Crimes Cibernéticos, com mais de 20 anos de experiência. Atende pessoas físicas e jurídicas na Av. Paulista, 2073, São Paulo/SP. Mais informações em https://drjonatas.com.br/ ou pelo WhatsApp (11) 2365-9212.
——————————————————————————–
A OESP não é(são) responsável(is) por erros, incorreções, atrasos ou quaisquer decisões tomadas por seus clientes com base nos Conteúdos ora disponibilizados, bem como tais Conteúdos não representam a opinião da OESP e são de inteira responsabilidade da Agência Saftec
