En kombination af fejl i både Apple Pays Express Transit-funktion og Visas system gør kort sårbare ifølge ny sikkerhedsundersøgelse.
Computer Science-forskere fra University of Birmingham og University of Surrey har udgivet en rapport om den nye cocktail af fejl på GitLab. Deres forskning viser, at det er muligt for nogen at generere svigagtige betalinger, selvom iPhone er låst. Risikoen kommer fra blandingen af Apple Pays Express Transit (alias Express Travel) og Visas kreditkortsystem, hvilket betyder, at andre kreditkortmærker og betalingsmetoder ikke påvirkes.
Sikkerhedshullet skabes specifikt, når du har et Visa-kreditkort sat op til Express Transit, som tillader kontaktløse betalinger til massetransportformål. Ifølge rapporten kan der opstå problemer, hvis en hacker bruger en kontaktløs EMV-læser som Clover eller Square.
Med den rigtige forberedelse ville angribere være i stand til at "…omgå Apple Pay-låseskærmen og ulovligt betale fra en låst iPhone." Uanset om telefonen er stjålet eller sikkert gemt i en rygsæk, kan de opkræve svigagtige afgifter, hvis de kan komme tæt nok på.
Både Apple og Visa er blevet gjort opmærksomme på problemet (hhv. oktober 2020 og maj 2021), men har ikke besluttet, hvilken der skal implementere en rettelse.
Husk på, at denne sikkerhedsrisiko kun vil påvirke eksprestransit-/rejsebrugere, der har et Visa-kort indstillet som betaling. Hvis du bruger en anden betalingstjeneste eller Express Transit med en anden type kreditkort, bliver du ikke berørt.
Hvis du bruger tjenesten med et Visa-kort, anbefales det stærkt, at du stopper med at bruge Visa som dit transportkort og skifter til noget andet indtil videre.