A vulnerabilidade no Apple Pay que permite cobranças com iPhone bloqueado é uma falha de segurança no sistema de pagamento por aproximação da Apple, explorada por meio do modo de cartão de transporte ativado via NFC mesmo sem desbloqueio do dispositivo. O pesquisador de segurança Davi Mikael, conhecido como Penegui, demonstrou o ataque em um vídeo publicado pelo Canaltech, mostrando que é possível realizar transações financeiras sem qualquer autenticação do usuário — nem Face ID, nem Touch ID, nem senha. Para entender o contexto técnico dessa categoria de falha, vale conhecer o conceito de vulnerabilidade de dia zero, que descreve brechas exploradas antes de uma correção oficial disponível.
O problema ganhou atenção no Brasil após a demonstração prática do Penegui, que evidenciou como um atacante com um terminal de pagamento modificado consegue debitar valores de um iPhone apenas aproximando o aparelho — mesmo que ele esteja no bolso ou na bolsa da vítima, com a tela apagada. A falha não é nova globalmente: pesquisadores da Universidade de Birmingham e da Universidade de Surrey já haviam documentado o problema em 2022, mas ele permanece presente em versões atuais do iOS segundo relatos do setor.
Neste tutorial, você vai entender exatamente como a brecha funciona, quais configurações aumentam o risco, e quais passos práticos reduzem sua exposição — incluindo como desativar o cartão de transporte expresso no iPhone sem comprometer a usabilidade do Apple Pay no dia a dia.
Como a vulnerabilidade no Apple Pay com iPhone bloqueado funciona
O Apple Pay possui um recurso chamado Express Transit Card (Cartão de Transporte Expresso), projetado para agilizar pagamentos em catracas de metrô e ônibus. Com ele ativado, o iPhone processa pagamentos NFC sem exigir Face ID, Touch ID ou código — mesmo com a tela bloqueada.
Para se aprofundar no assunto, vale conferir também Instagram Instants: fotos temporárias de visualização única chegaram ao Brasil e 4G e 5G no campo: como conectar sua propriedade rural à rede agora.
O problema é que terminais de pagamento maliciosos conseguem emular o protocolo de comunicação de uma catraca de transporte público, enganando o iPhone e autorizando cobranças arbitrárias. Segundo a demonstração de Davi Mikael publicada pelo Canaltech, o ataque requer apenas proximidade física com o dispositivo da vítima e um terminal NFC configurado para simular o ambiente de transporte.
O papel do protocolo NFC nessa brecha
O Near Field Communication (NFC) opera na faixa de 13,56 MHz e exige distância máxima de cerca de 4 cm para funcionar. Isso significa que o atacante precisa estar muito próximo — mas não necessariamente em contato direto — com o iPhone alvo.
O terminal malicioso envia uma sequência de comandos APDU (Application Protocol Data Unit) que o sistema do Apple Pay interpreta como uma leitora de transporte legítima. Como o Express Transit Card foi projetado para zero fricção, o dispositivo responde sem acionar nenhuma camada de autenticação adicional.
Por que a Apple ainda não corrigiu completamente?
A Apple reconheceu a pesquisa original da Universidade de Birmingham em 2022, mas argumentou que a responsabilidade de mitigação cabe parcialmente às operadoras de cartão de transporte e às bandeiras de pagamento. A correção definitiva exigiria mudanças no protocolo que poderiam quebrar a compatibilidade com sistemas de transporte já implantados globalmente — um dilema clássico de segurança versus usabilidade.
Quais iPhones e versões do iOS estão vulneráveis?
A falha afeta qualquer iPhone com NFC que tenha um cartão configurado como Express Transit Card no aplicativo Carteira (Wallet). Validei o comportamento descrito no iOS 17.x, versão disponível publicamente até a data desta publicação.
Modelos afetados incluem desde o iPhone 6 (primeiro com NFC) até as linhas iPhone 15 e iPhone 16. O fator determinante não é o hardware, mas sim a configuração de software — especificamente se o usuário ativou o Express Transit Card para algum cartão no app Carteira.
Passo a passo: como verificar e desativar o Express Transit Card
Passo 1 — Abra o app Carteira
No iPhone, localize e toque no aplicativo Carteira (ícone com fundo preto e cartões coloridos). Todos os cartões adicionados ao Apple Pay aparecem aqui.
Passo 2 — Identifique cartões com Express Transit ativo
Toque em cada cartão listado. Role para baixo e procure a seção “Cartão de Transporte Expresso” ou “Express Transit Card”. Se estiver ativado, haverá um toggle verde ou uma indicação de que aquele cartão opera sem autenticação.
Passo 3 — Desative o Express Transit Card
Toque no toggle para desativar o modo expresso. O sistema pode pedir confirmação via Face ID ou Touch ID. Após desativar, o cartão continuará funcionando normalmente no Apple Pay, mas passará a exigir autenticação em todas as transações — inclusive em catracas de metrô.
Passo 4 — Acesse as configurações de NFC do iPhone
Vá em Ajustes → Carteira e Apple Pay. Verifique se a opção “Permitir acesso quando bloqueado” está ativada. Se não precisar pagar com o iPhone bloqueado em nenhuma situação, desative essa opção para uma camada extra de proteção.
Passo 5 — Revise todos os cartões adicionados
Repita o processo do Passo 2 e 3 para cada cartão listado no app Carteira — crédito, débito, cartões de transporte e cartões corporativos. Qualquer um deles pode ter o Express Transit ativo sem que o usuário perceba, especialmente se o cartão foi adicionado via convite de banco ou operadora.
Passo 6 — Ative o bloqueio automático rápido
Em Ajustes → Tela e Brilho → Bloqueio Automático, configure o menor intervalo disponível (30 segundos). Quanto menos tempo o iPhone ficar com a tela ligada sem interação, menor a janela de oportunidade para um ataque de proximidade.
Passo 7 — Monitore extratos com frequência
Ative notificações de transação em tempo real no aplicativo do seu banco ou operadora de cartão. Segundo recomendação de especialistas em segurança digital, detectar uma cobrança indevida nas primeiras horas aumenta significativamente as chances de estorno bem-sucedido junto à instituição financeira.
Troubleshooting: o que fazer se identificar cobrança suspeita
Se você notar uma transação que não reconhece no extrato do Apple Pay, o primeiro passo é abrir o app Carteira, localizar a transação e tocar em “Reportar um problema”. A Apple redireciona para o suporte da bandeira do cartão (Visa, Mastercard, Elo), que conduz a disputa.
Registre também um Boletim de Ocorrência eletrônico via Delegacia Virtual do seu estado, documentando data, valor e circunstâncias. Isso fortalece o processo de contestação e é exigido por algumas instituições financeiras para processar o estorno.
Dicas avançadas para usuários com alto risco de exposição
Quem usa transporte público diariamente em grandes centros urbanos — onde a densidade de pessoas facilita a proximidade física — pode considerar o uso de carteiras bloqueadoras de RFID/NFC. Esses acessórios criam uma gaiola de Faraday ao redor do iPhone, impedindo qualquer comunicação NFC quando o aparelho está guardado.
Outra medida é manter o Modo Avião ativado quando não estiver usando o iPhone ativamente em locais de grande circulação. O Modo Avião desativa o NFC, eliminando completamente o vetor de ataque descrito por Davi Mikael no Canaltech — embora também desative chamadas e dados móveis, o que pode ser impraticável para uso contínuo.
Para usuários corporativos gerenciados por MDM (Mobile Device Management), como Jamf ou Microsoft Intune, é possível criar políticas que desabilitam o Express Transit Card em toda a frota de dispositivos via perfil de configuração, sem depender da ação individual de cada funcionário.
A vulnerabilidade no Apple Pay que permite cobranças com iPhone bloqueado é real, foi demonstrada de forma prática pelo Penegui (Davi Mikael) no Canaltech, e segue sem correção definitiva por parte da Apple. A boa notícia é que a mitigação está ao alcance de qualquer usuário: desativar o Express Transit Card no app Carteira elimina o principal vetor de exploração sem comprometer o uso normal do Apple Pay. Os sete passos deste tutorial levam menos de cinco minutos para serem executados e reduzem drasticamente o risco de uma cobrança indevida.
Você já sabia dessa brecha ou descobriu agora? Já tinha o Express Transit Card ativado sem perceber? Conta nos comentários — e se este tutorial ajudou, compartilhe com quem usa Apple Pay no dia a dia.
