Kombinacija nedostataka u funkciji Apple Pay Express Transit i Visa sistemu čini kartice ranjivim, prema novom sigurnosnom istraživanju.
Istraživači računarskih nauka sa Univerziteta Birmingham i Univerziteta Surrey objavili su izvještaj o novom koktelu nedostataka na GitLabu. Njihovo istraživanje pokazuje da je moguće da neko generiše lažna plaćanja, čak i ako je iPhone zaključan. Rizik dolazi od kombinacije Apple Pay Express Transit (aka Express Travel) i Visa sistema kreditnih kartica, što znači da ostali brendovi kreditnih kartica i načini plaćanja nisu pogođeni.
Sigurnosna rupa je posebno stvorena kada imate Visa kreditnu karticu podešenu za Express Transit, koja omogućava beskontaktno plaćanje u svrhe masovnog prijevoza. Prema izvještaju, problemi mogu nastati ako napadač koristi beskontaktni EMV čitač kao što je Clover ili Square.
Uz odgovarajuću pripremu, napadači bi mogli "…zaobići zaključani ekran Apple Pay-a i nezakonito platiti sa zaključanog iPhone-a." Bilo da je telefon ukraden ili bezbedno spremljen u ruksaku, mogu naplatiti lažne optužbe ako se dovoljno približe.
I Apple i Visa su upoznati sa problemom (u oktobru 2020. i maju 2021.), ali nisu odlučili koji će implementirati ispravku.
Imajte na umu da će ovaj sigurnosni rizik utjecati samo na korisnike Express Transit/Travel koji imaju Visa karticu postavljenu kao plaćanje. Ako koristite drugu uslugu plaćanja ili Express Transit s drugom vrstom kreditne kartice, to neće utjecati na vas.
Ako koristite uslugu sa Visa karticom, toplo je preporučljivo da prestanete koristiti Visu kao svoju transportnu karticu i za sada pređete na nešto drugo.
