Nova Pesquisa Revela Falhas de Segurança em Carteiras Digitais Populares

Um artigo de pesquisa publicado hoje pela Universidade de Massachusetts Amherst revelou vulnerabilidades de segurança significativas em carteiras digitais populares como Apple Pay, Google Pay e PayPal. O estudo destaca como essas tecnologias, projetadas para serem usadas por mais de 5,3 bilhões de pessoas até 2026, podem ser comprometidas devido a métodos de autenticação desatualizados que colocam a conveniência antes da segurança.

O anúncio da universidade também explica que os pesquisadores identificaram uma falha na forma como os bancos lidam com cartões roubados. Os bancos normalmente bloqueiam o cartão físico, mas não abordam as transações através de carteiras digitais, onde o sistema de tokens não requer reautenticação após a substituição do cartão.

Como resultado, os invasores ainda podem usar os detalhes do cartão roubado para compras, mesmo depois que a vítima recebeu um novo cartão. Isso expõe uma lacuna crítica de segurança que precisa ser abordada para proteger contra transações fraudulentas.

Taqi Raza, um dos autores do papel, afirma no anúncio, “Qualquer ator mal-intencionado que conheça o número do cartão [físico] pode se passar pelo titular do cartão, […] A carteira digital não possui mecanismo suficiente para autenticar se o usuário do cartão é o titular do cartão ou não.”

Além disso, o estudo revela que os atacantes podem explorar essas carteiras digitais por vários meios. Primeiramente, eles podem adicionar o cartão bancário de uma vítima à sua própria carteira, contornando o acordo de autenticação entre a carteira e o banco.

Em segundo lugar, eles exploram a confiança inerente entre a carteira e o banco para contornar a autorização de pagamento. Em terceiro lugar, os atacantes podem manipular os tipos de pagamento para contornar as políticas de controle de acesso, permitindo-lhes fazer compras não autorizadas, apesar do cartão ser relatado como roubado.

O estudo examinou vulnerabilidades nos principais bancos dos EUA e em aplicativos de carteira digital, revelando que, mesmo após serem notificados, os problemas persistem. Os pesquisadores descobriram que novos detalhes de cartão são vinculados ao antigo token virtual sem reautenticação, permitindo a continuidade de atividades fraudulentas.

Para abordar esses problemas, o estudo propõe várias contramedidas. Uma recomendação importante é substituir os desatualizados sistemas de senha única (OTP) por métodos de autenticação multifatorial (MFA) mais seguros.

Adicionalmente, o estudo sugere a implementação de autenticação contínua para a gestão de tokens para aprimorar a segurança. Atualmente, os tokens de pagamento permanecem válidos indefinidamente após a autenticação inicial. A recomendação é para que os bancos usem re-autenticação periódica e atualizações de tokens, especialmente após eventos críticos como a perda de um cartão.

Por fim, a pesquisa recomenda aprimorar a autorização de transações ao analisar metadados de transações, como tempo e frequência, para distinguir entre transações únicas e recorrentes. Isso ajudaria a prevenir o uso indevido de rótulos de transações e garantir que as transações correspondam aos seus tipos e valores pretendidos.