Kombinacija nedostataka u Apple Pay Express Transit značajci i Visa sustavu čini kartice ranjivima, prema novom sigurnosnom istraživanju.
Istraživači računalnih znanosti sa Sveučilišta Birmingham i Sveučilišta Surrey objavili su izvješće o novom koktelu nedostataka na GitLabu. Njihovo istraživanje pokazuje da je moguće da netko generira lažna plaćanja, čak i ako je iPhone zaključan. Rizik dolazi od kombinacije Apple Pay Express Transita (aka Express Travel) i Visa sustava kreditnih kartica, što znači da ostale marke kreditnih kartica i načini plaćanja nisu pogođeni.
Sigurnosna rupa posebno se stvara kada imate Visa kreditnu karticu postavljenu za Express Transit, koja omogućuje beskontaktno plaćanje u svrhe masovnog prijevoza. Prema izvješću, problemi mogu nastati ako napadač koristi beskontaktni EMV čitač poput Clover ili Square.
Uz pravu pripremu, napadači bi mogli "…zaobići zaključani zaslon Apple Paya i nezakonito plaćati sa zaključanog iPhonea." Bilo da je telefon ukraden ili na sigurnom spremljen u ruksaku, mogu skupiti lažne troškove ako se mogu dovoljno približiti.
I Apple i Visa su upoznati s problemom (u listopadu 2020. i svibnju 2021.), ali nisu odlučili koji će implementirati popravak.
Imajte na umu da će ovaj sigurnosni rizik utjecati samo na korisnike Express Transit/Travel koji imaju Visa karticu postavljenu kao svoje plaćanje. Ako koristite drugu uslugu plaćanja ili Express Transit s drugom vrstom kreditne kartice, to neće utjecati na vas.
Ako ipak koristite uslugu s Visa karticom, toplo se preporučuje da prestanete koristiti Visu kao svoju prijevoznu karticu i za sada prijeđete na neku drugu.
