En kombination av brister i både Apple Pays Express Transit-funktion och Visas system gör korten sårbara, enligt ny säkerhetsundersökning.
Datavetenskapsforskare från University of Birmingham och University of Surrey har släppt en rapport om den nya cocktailen av brister på GitLab. Deras forskning visar att det är möjligt för någon att generera bedrägliga betalningar, även om iPhone är låst. Risken kommer från blandningen av Apple Pays Express Transit (alias Express Travel) och Visas kreditkortssystem, vilket innebär att andra kreditkortsmärken och betalningsmetoder inte påverkas.
Säkerhetskryphålet skapas specifikt när du har ett Visa-kreditkort inställt för Express Transit, vilket tillåter kontaktlösa betalningar för kollektivtrafik. Enligt rapporten kan problem uppstå om en angripare använder en kontaktlös EMV-läsare som Clover eller Square.
Med rätt förberedelser skulle angripare kunna "…förbigå Apple Pay-låsskärmen och olagligt betala från en låst iPhone." Oavsett om telefonen är stulen eller säkert undanstoppad i en ryggsäck, kan de ta på sig bedrägliga avgifter om de kan komma tillräckligt nära.
Både Apple och Visa har blivit medvetna om problemet (i oktober 2020 respektive maj 2021), men har inte bestämt vilken som ska implementera en lösning.
Tänk på att denna säkerhetsrisk endast kommer att påverka Express Transit/Travel-användare som har ett Visa-kort som betalning. Om du använder en annan bet altjänst eller Express Transit med en annan typ av kreditkort kommer du inte att påverkas.
Om du använder tjänsten med ett Visa-kort rekommenderas starkt att du slutar använda Visa som ditt transportkort och byter till något annat tills vidare.