Graças à Siri, hackers poderiam ter tirado dinheiro de contas do Venmo em minutos

O Venmo é uma carteira digital para transferência de dinheiro de propriedade do PayPal que tem ganhado popularidade por permitir liquidar contas e pagar amigos com apenas alguns cliques. Além de enviar dinheiro, é possível solicitar que as pessoas te paguem. E até pouco tempo, qualquer um poderia usar uma conta Venmo em um iPhone bloqueado, apenas usando a Siri, segundo aponta reportagem do site The Next Web.

A falha foi descoberta por Martin Vigo, engenheiro de segurança do produto da Salesforce. Segundo ele, que demonstrou a ação em menos de dois minutos, a vulnerabilidade tirava proveito do fato de que o iOS permite executar um conjunto limitado de ações, como envio de mensagens de texto e iniciar chamadas telefônicas, sem realmente ter de desbloquear o telefone com um número PIN ou impressão digital.

Nesse cenário, um invasor poderia dizer para a Siri enviar uma mensagem de texto para 86753 dizendo “START”. Isso permitia que o serviço de SMS Venmo fosse ativado. Em seguida, o atacante teria de emitir um pedido de pagamento para o dispositivo comprometido. O montante máximo que pode ser solicitado é de US$ 299,99, com limite semanal de US$ 2,999.99.

O Venmo, então, pediria à vítima para confirmar o pedido. Ele faz isso por meio do envio de um SMS com um código único. O destinatário tem de mandar uma mensagem de texto de volta para o Venmo para processar o pagamento. Mas o atacante pode fazer isso ao pedir para a Siri para ler a última mensagem recebida, fazer uma anotação do número e, em seguida, dizer para a Siri enviar um texto de volta com um shortcode Venmo.

Graças à descoberta de Vigo, contudo, a Venmo resolveu o problema em 18 dias. A empresa optou por eliminar a função “reply-to-pay”.