Por que duas das maiores empresas de tecnologia e finan\u00e7as do mundo ainda n\u00e3o corrigiram uma vulnerabilidade capaz de esvaziar sua conta banc\u00e1ria enquanto seu celular est\u00e1 no bolso?<\/b><\/p>\n
——————————————————————————–<\/p>\n
S\u00e3o Paulo, maio de 2026 — Imagine que algu\u00e9m passe por voc\u00ea em uma fila de metr\u00f4, aproxime discretamente um dispositivo do tamanho de um cart\u00e3o ao seu bolso e, segundos depois, realize uma cobran\u00e7a de R$ 50.000 no seu cart\u00e3o Visa vinculado ao Apple Pay — tudo isso sem que voc\u00ea tenha desbloqueado o iPhone, digitado uma senha ou percebido qualquer coisa. Esse cen\u00e1rio n\u00e3o \u00e9 fic\u00e7\u00e3o cient\u00edfica. \u00c9 um ataque documentado, reproduzido em laborat\u00f3rio e publicado em um dos mais respeitados congressos de seguran\u00e7a do mundo desde 2021.<\/p>\n
——————————————————————————–<\/p>\n
A pesquisa foi conduzida por especialistas das universidades de Birmingham e Surrey, no Reino Unido, e apresentada no IEEE Symposium on Security and Privacy 2022<\/b>, sob o t\u00edtulo “Practical EMV Relay Protection”. O paper demonstra, com prova de conceito completa, como um atacante pode interceptar, modificar e retransmitir os dados NFC de um iPhone com cart\u00e3o Visa em modo de transporte expresso para realizar pagamentos de qualquer valor — sem nenhuma intera\u00e7\u00e3o do usu\u00e1rio.<\/p>\n
Como o ataque funciona: tr\u00eas mentiras e um pagamento aprovado<\/b><\/p>\n
Para o advogado especialista em Direito Digital e crimes cibern\u00e9ticos Dr. Jonatas Lucena<\/b>, com mais de 20 anos de atua\u00e7\u00e3o e escrit\u00f3rio na Avenida Paulista, em S\u00e3o Paulo, a gravidade da falha reside justamente em sua sofistica\u00e7\u00e3o jur\u00eddica e t\u00e9cnica combinadas. “Estamos diante de uma vulnerabilidade que n\u00e3o exige senha, biometria ou qualquer a\u00e7\u00e3o da v\u00edtima. Do ponto de vista jur\u00eddico, isso levanta quest\u00f5es s\u00e9rias sobre responsabilidade civil e a efic\u00e1cia das pol\u00edticas de estorno das bandeiras”, afirma o Dr. Jonatas Lucena.
\n——————————————————————————–<\/p>\n
——————————————————————————–<\/p>\n
O ataque \u00e9 classificado tecnicamente como Man-in-the-Middle via NFC<\/b>, e opera em tr\u00eas camadas:
\n——————————————————————————–<\/p>\n
1. O modo expresso como porta de entrada<\/b> A Apple criou o recurso “Express Transit” para facilitar pagamentos em sistemas de transporte p\u00fablico, catracas de metr\u00f4 e \u00f4nibus sem exigir desbloqueio do aparelho. Os pesquisadores identificaram o c\u00f3digo espec\u00edfico que os leitores de transporte enviam ao iPhone para acionar este modo. Com um dispositivo chamado Proxmark<\/b> comercialmente acess\u00edvel, custando menos de US$ 300 o atacante replica esse c\u00f3digo, fazendo o iPhone “acreditar” que est\u00e1 numa catraca de metr\u00f4.<\/p>\n
——————————————————————————–<\/p>\n
2. A manipula\u00e7\u00e3o do bit de valor<\/b> Transa\u00e7\u00f5es acima de determinado limite normalmente exigem verifica\u00e7\u00e3o do titular (biometria ou PIN). Por\u00e9m, o protocolo EMV n\u00e3o transmite o valor num\u00e9rico da transa\u00e7\u00e3o para essa verifica\u00e7\u00e3o ele transmite apenas um \u00fanico bit:<\/b> “0” para baixo valor, “1” para alto valor. O script em Python intercepta essa informa\u00e7\u00e3o e altera o bit para “0”, fazendo o iPhone aprovar uma transa\u00e7\u00e3o de R$ 50.000 como se fosse o valor de uma passagem de \u00f4nibus.<\/p>\n
——————————————————————————–<\/p>\n
3. A falsifica\u00e7\u00e3o da verifica\u00e7\u00e3o do cliente<\/b> Quando o iPhone responde ao leitor, ele informa que aprovou a transa\u00e7\u00e3o, mas que n\u00e3o houve verifica\u00e7\u00e3o do titular. Leitores de cart\u00e3o normais rejeitariam esse pagamento. O ataque intercepta essa resposta e altera o bit de verifica\u00e7\u00e3o para indicar que a autentica\u00e7\u00e3o foi realizada com sucesso. O leitor aceita, envia ao banco, e a transa\u00e7\u00e3o \u00e9 processada.<\/p>\n
Por que s\u00f3 iPhone + Visa?<\/b><\/p>\n
A combina\u00e7\u00e3o espec\u00edfica n\u00e3o \u00e9 coincid\u00eancia. Outros fabricantes como Samsung verificam o valor num\u00e9rico real<\/b> da transa\u00e7\u00e3o antes de aprov\u00e1-la no modo de transporte, tornando o ataque invi\u00e1vel. A Mastercard, por sua vez, exige criptografia assim\u00e9trica RSA<\/b> com assinatura digital em todas as transa\u00e7\u00f5es: qualquer altera\u00e7\u00e3o em um \u00fanico byte invalida a assinatura, e o leitor rejeita imediatamente.<\/p>\n
——————————————————————————–<\/p>\n
A Visa, ao contr\u00e1rio, n\u00e3o exige essa assinatura em transa\u00e7\u00f5es online quando o leitor est\u00e1 conectado \u00e0 internet e pode consultar os sistemas de antifraude da bandeira em tempo real. Os pesquisadores mantiveram o leitor online deliberadamente para explorar exatamente essa lacuna.<\/p>\n
Empresas reconhecem, mas n\u00e3o corrigem<\/b><\/p>\n
Segundo o paper acad\u00eamico, a Apple foi notificada em outubro de 2020, e a Visa em maio de 2021. Ambas reconheceram a gravidade do problema. A Apple afirmou, em reuni\u00e3o com os pesquisadores, que considerava a vulnerabilidade s\u00e9ria, mas que a responsabilidade pela corre\u00e7\u00e3o seria da Visa. A Visa, por sua vez, declarou que mecanismos de antifraude no back-end seriam acionados caso necess\u00e1rio mas os pr\u00f3prios pesquisadores realizaram o ataque repetidas vezes, com valores elevados, do mesmo cart\u00e3o,sem jamais serem bloqueados<\/b>.<\/p>\n
——————————————————————————–<\/p>\n
Para o Dr. Jonatas Lucena, a postura das empresas \u00e9 preocupante sob a \u00f3tica do direito do consumidor brasileiro. “A pol\u00edtica de ‘responsabilidade zero’ da Visa pode parecer uma prote\u00e7\u00e3o, mas ela n\u00e3o elimina o dano imediato: a v\u00edtima v\u00ea dinheiro desaparecer da conta, precisa contestar a transa\u00e7\u00e3o, aguardar o prazo de an\u00e1lise e ainda lidar com o estresse emocional e financeiro. No Brasil, isso configura dano moral pass\u00edvel de repara\u00e7\u00e3o, especialmente quando a empresa tem conhecimento pr\u00e9vio do risco e n\u00e3o age”, explica o advogado.<\/p>\n
O cen\u00e1rio real de explora\u00e7\u00e3o<\/b><\/p>\n
O ataque n\u00e3o requer invas\u00e3o f\u00edsica ao dispositivo da v\u00edtima. Basta proximidade em metr\u00f4s, aeroportos, est\u00e1dios, elevadores ou qualquer ambiente urbano de alta densidade. Com o equipamento correto, o atacante pode operar a metros de dist\u00e2ncia, utilizando um segundo dispositivo para realizar o pagamento em um terminal leg\u00edtimo.
\n——————————————————————————–<\/p>\n
——————————————————————————–<\/p>\n
Os pesquisadores testaram o ataque em m\u00faltiplos indiv\u00edduos e valores, incluindo transa\u00e7\u00f5es equivalentes a R$ 50.000. Todos foram aprovados. Em tese, o limite \u00e9 o cr\u00e9dito dispon\u00edvel no cart\u00e3o.<\/p>\n
O que voc\u00ea pode fazer agora<\/b><\/p>\n
Enquanto Apple e Visa n\u00e3o implementam uma solu\u00e7\u00e3o t\u00e9cnica definitiva, os pesquisadores recomendam formalmente que usu\u00e1rios n\u00e3o utilizem cart\u00f5es Visa como cart\u00e3o de transporte no Apple Pay<\/b>. Em caso de perda ou roubo do iPhone, ative imediatamente o Modo Perdido<\/b> e entre em contato com o banco para bloqueio preventivo do cart\u00e3o.<\/p>\n
——————————————————————————–<\/p>\n
O Dr. Jonatas Lucena refor\u00e7a a recomenda\u00e7\u00e3o e acrescenta a dimens\u00e3o jur\u00eddica: “Qualquer consumidor que identifique cobran\u00e7as indevidas deve registrar boletim de ocorr\u00eancia imediatamente, guardar todos os extratos e acionar tanto a operadora do cart\u00e3o quanto o banco emissor. A legisla\u00e7\u00e3o brasileira, o C\u00f3digo de Defesa do Consumidor e a Lei Geral de Prote\u00e7\u00e3o de Dados oferecem instrumentos concretos para responsabiliza\u00e7\u00e3o. N\u00e3o hesite em procurar assessoria jur\u00eddica especializada.”
\n——————————————————————————–<\/p>\n
Uma quest\u00e3o de escolha, n\u00e3o de impossibilidade<\/b><\/p>\n
A falha t\u00e9cnica tem solu\u00e7\u00e3o conhecida: a Mastercard j\u00e1 a implementa. A Visa e a Apple optaram por n\u00e3o faz\u00ea-lo. Quando uma vulnerabilidade ativa, documentada e reproduz\u00edvel permanece sem corre\u00e7\u00e3o por mais de cinco anos, deixa de ser um problema de engenharia e passa a ser uma decis\u00e3o de neg\u00f3cios com consequ\u00eancias jur\u00eddicas e \u00e9ticas que as empresas precisar\u00e3o responder.
\n——————————————————————————–<\/p>\n
——————————————————————————–<\/p>\n